Analizirajući napad na kompanije iz auto industrije, stručnjaci iz Morphisec su identifikovali opasnu tehniku koja je deo nove BitPaymer/IEncrypt napadačke kampanje. U pitanju je eksploatisanje Apple zero-day ranjivosti u Apple Software Update aplikaciji koja se nalazi u iTunes paketu za Windows.
Napadači eksploatišu ranjivost tzv. putanje bez navodnika kako bi ostvarili trajno prisustvo i izbegli detekciju. Pored ovoga, Morphisec je otkrio i nekoliko drugih ranjivosti koje je moguće zloupotrebiti na sličan način. Apple je u međuvremenu izbacio patch.
iTunes za Mac uređaje prestaje da postoji od macOS Catalina verzije koja je nedavno izašla, ali će je Windows korisnici i dalje imati.
Ovaj tip ranjivosti je identifikovan pre više od 15 godina. Najčešće se pominje u kontekstu eskalacije privilegija (napadači traže servise i aplikacije sa administratorskim pravima i eksploatisanjem ranjivosti izvršavaju željene komande).
Programeri sve više koriste objektno orijentisano programiranje i često pretpostavljaju da je kod dodeljivanja putanje varijabli dovoljno da odaberu string kao vrstu varijable. Međutim, potrebno je dodati navodnike na početku i na kraju putanje. Apple Software Update, mehanizam koji Apple koristi za isporučivanje ažuriranja, ima ovakvu ranjivost. Ima sopstveni instalacioni folder i planirani zadatak za izvršenje procesa. Korisnici u većini slučajeva ne znaju da je pri deinstaliranju iTunes aplikacije, potrebno odvojeno deinstalirati i Apple Software Update. Zbog toga je ovaj servis ostao instaliran na velikom broju računara na kojima je iTunes deinstaliran, gde je radio neprimetno u pozadini, i nije dobijao ažuriranja.
Izbegavanje detekcije
Mnoga bezbednosna rešenja su zasnovana na praćenju ponašanja gde ključnu ulogu ima lanac izvršenja procesa (parent-child). Ukoliko legitimni proces potpisan od strane poznatog vendora izvrši novi, maliciozni child proces, upozorenje će imati manji skor pouzdanosti nego u slučaju parent procesa koji nije potpisan od strane poznatog vendora. S obzirom na to da je Apple Software Update potpisan i poznat, napadači su to iskoristili. Treba dodati i da se bezbednosni vendori trude da minimiziraju nepotrebne konflikte sa poznatim aplikacijama tako da često i ne reaguju iz straha da im ne poremete operacije.
Pritom, maliciozni “program“ fajl nema ekstenziju .exe. To znači da AV proizvodi verovatno neće skenirati fajl zato što oni skeniraju samo specifične ekstenzije kako ne bi ometali rad uređaja. U ovom slučaju, Apple Software Update je pokušao da se pokrene iz "Program Files" foldera, ali je zbog putanje bez navodnika pokrenuo BitPaymer ransomware pod imenom "Program". Tako je uspešno izbegnuta detekcija i zaobiđeno AV rešenje.
Slika 1. Apple ranjivost. Izvor slike: Morphisec.
Kao što je pomenuto, nakon inicijalnog otkrića, pronađeno je još sličnih ranjivosti u iTunes softveru i instaleru. Maliciozni fajl ne mora da bude na C disku niti pod nazivom Program. Može biti nazvan Apple ili Apple Software i smešten u Program Files. Naravno, napadaču su potrebne privilegije zapisivanja u ovim folderima.
BitPaymer/IEncrypt grupa stalno unosi inovacije u svoje aktivnosti. Napadi se temeljno pripremaju kako bi uvek bili korak ispred odbrane.
Izvor: Morphisec