Следим за жертвой при помощи её обновлённого антивируса

Дисклеймер на месте, не волнуйтесь. И он утверждает, что вся представленная в посте информация опубликована исключительно для ознакомления и отражает только личную позицию автора. Автор не несёт ответственности за то, как Вы примените знания, но просит Вас не шалить. Такие дела.

Часть 1. Возвращение легенды

Если Вы не читали предыдущую статью, то можете сделать это сейчас. Если лень, то расскажу в двух словах: там произошёл эксперимент, в ходе которого на полностью обновлённую Windows 10 Pro было установлено решение для максимальной защиты Kaspersky Total Security. После чего инструментом, о котором ещё в 2011-м году писали, что он непригоден для обхода антивирусов, был сгенерирован exe-файл, прошедший все проверки. Запуск файла приводил к заражению машины трояном, а сделать ситуацию ещё лучше помог опциональный продукт ЛК — Kaspersky Secure Connection. KSC это клиент OpenVPN от Лаборатории, который устанавливается вместе c KIS и KTS — топовыми продуктами компании, и позволяет любому трояну встаривать вредоносный код в свой процесс. Самая мякотка заключается в том, что KSC является доверенным в списке процессов KIS/KTS, так что, прикинувшись им, вредонос может творить незнамо чего.

Итак, сегодня наше внимание привлекла новость об очередном революционном обновлении линейки продуктов Лаборатории.

Здесь следует сделать лирическое отступление: несмотря на то, что с первого взгляда и не скажешь, но автор поста не испытывает никаких враждебных ощущений по отношению к ЛК, наоборот, он являлся многолетним пользователем KIS и данный продукт изначально был выбран потому что считался автором лучшим на своём рынке.

Вернёмся к революционному обновлению. До 18-й версии обновился поистине легендарный Kaspersky Internet Security. Да, это не решение для максимальной защиты, но вот что о нём говорит  руководитель отдела управления продуктами для домашних пользователей:

«<…> Мы работаем в индустрии кибербезопасности уже 20 лет, и половину этого пути прошли вместе с нашим флагманским домашним продуктом Kaspersky Internet Security. Так что он определенно содержит все лучшее, что мы создали за эти годы».

Помимо этого, в статье о том, как защищаться в 2018-м году пишут следующее:

«<…> Это позволяет защищать ваши устройства от всех известных и большинства еще неизвестных угроз».

Отлично! По всей видимости, KIS 2018 нехило проапгрейдили (ну, вы уже поняли?). Самое время проверить это на практике. В предыдущей статье наличие вредоносного файла на машине жертвы было, фактически, включено в условие. В этот раз мы слегка усложним себе задачу и проведём атаку с нуля.

Часть 2. Ожидание-реальность

Как и ранее, в эксперименте участвуют две виртуальные машины в одной локальной сети, подключенной к Интернету:

  • Kali Linux 2017.1, полностью обновлённая на 31.08.2017;
  • Windows 10 Pro, полностью обновлённая на 31.08.2017. Для защиты Windows установлен Kaspersky Internet Security, обновлены базы, подключена репутационная система KSN.
  • Новинка! В этот раз было решено воспользоваться Яндекс.Браузером. Я.Браузер всюду продвигается как домохозяйка-friendly решение для безопасного хождения по просторам Интернета. Более того, его даже пытаются впарить при установке KTS — решения для максимальной защиты, так зачем отказывать себе в таком удовольствии? Берём самый безопасный браузер в пару к своему обновлённому антивирусу.

Разница в том, что теперь мы имитируем заражение с нуля. Нам поможет в этом выдающийся инструмент под названием MITMf. Являясь, пожалуй, самым продвинутым фреймворком для проведения MITM-атак, MITMf включает в себя множество полезных модулей, среди которых особо интересующий нас сегодня — backdoor-factory. Последний представляет собой набор инструментов для патчинга исполняемых файлов. Берём безобидный калькулятор, внедряем туда вредоносный код и отправляем пользователю. Запуск файла приведёт к компрометации машины, но и калькулятор при этом будет работать — никакого палева.

Идея атаки в следующем: используя MITMf, осуществляем классический ARP-spoofing локальной сети. Пользуясь тем, что трафик жертвы идёт через нас, мы можем вмешиваться в него. В частности, мы будем использовать интеграцию с backdoor-factory для того чтобы «на лету» заражать исполняемые файлы, которые скачивает беспечный пользователь.

Здесь снова следует сделать небольшое лирическое отступление: за два месяца, прошедшие с момента публикации предыдущего поста, в арсенале ЛК появился способ детекта той полезной нагрузки, которую мы использовали в прошлый раз. Пришлось добавить при генерации msfvenom’ом ещё один параметр, чтобы обойти его снова.

Что ж, у нас всё готово.

И да, мы используем свежую версию:

Используем Я.Браузер чтобы перейти на live.sysinternals.com и скачать там безобидный файл pslist64.exe (надо глянуть процессы на машине — вдруг там троян?). MITMf перехватывает exe-файл, внедряет туда вредонос и передаёт пользователю.

Если обратить внимание на запущенные модули, то можно увидеть, что MITM осуществляется с обходом HSTS (внимание на адресную строку Я.Браузера) и, собственно, модулем для патчинга исполняемых файлов.

Убеждаемся в логах MITMf, что exe-шник пропатчился успешно.

Проверяем свежескачанный файл при помощи антивируса. Нужно убедиться, что нашему покою ничто не угрожает. К счастью, так и есть.

Всё чисто. Запускаем. Мы должны принять условия лицензионного соглашения. В то же самое время на атакующей машине стартовала сессия meterpreter.

Пытаемся использовать уже известный трюк и мигрировать в процесс KSC. Работает. Революционное обновление ничего не исправило. Позднее мы перечитали новость с анонсом и увидели следующее:

«Kaspersky Internet Security c 2006 г. оберегает жизнь пользователя в цифровом мире. Так, решение защищает финансовые операции, блокирует несанкционированный доступ к веб-камере и микрофону <…>».

Воспроизводим ситуацию заново, запускаем стрим с веб-камеры нашей потенциальной жертвы и видим там группу подозрительных людей. Кто знает, может как-то так и выглядят русские хакеры, о которых так много пишут в новостях.

Часть 3. Внезапный интерес

А с чего вдруг такой интерес к новой версии антивируса? Дело в том, что в последние дни в логах веб-сервера я обнаружил всплеск посещений с одного конкретного диапазона IP. Этот диапазон зарезервирован за Лабораторией Касперского. Люди идут на сайт с веб-ресурса klwiki.avp.ru, который является внутренним порталом ЛК. Естественно, все переходы — на статью о правильном фотографировании на веб-камеру. Вот немного статистики только по посетителям из внутренней сети Лаборатории Касперского:

Более того, полностью URL, с которого осуществляются переходы выглядит как-то вроде klwiki.avp.ru/wiki/Ivanov:Ivan. Загуглив имя мы получили в ответ профиль на Linkedin, откуда и узнали, что senior developer в курсе ситуации и разместил ссылку на статью на своей странице на портале. О проблеме знают, новую версию выпустили с традиционными овациями, а о безопасности клиентов когда придёт время побеспокоиться? Выводы делайте сами.

Часть 4. Честная конкуренция

Напоследок, поговорим о конкуренции по-русски. Обратимся к статье одного популярного блогера. Даже не к одной. Вот что пишут:

«Оказывается, вот что не так – не включен Defender! Ну, это действительно тревожный факт, но не для пользователя, а для Microsoft. Для пользователя даже наоборот – немного в мире антивирусов по функциональности и качеству защиты хуже Defender. Да, надо признать, что Defender на данный момент… буду дипломатичен — не хватает звезд с неба.»

«Тесты независимых профессиональных лабораторий это не подтверждают. Давайте посмотрим на уровень детектирования продукта Microsoft и сравним его с нашим. Разница результатов отличается от теста к тесту — где-то она будет больше, где-то меньше. Но при этом в каждом случае решение Microsoft будет находить меньше настоящих угроз, чем наши продукты.»

Что ж, ноутбук с виртуалками на лабораторию не претендует, но вот независимость мнения я Вам готов гарантировать. Есть кое-что, о чём я намеренно не упомянул до настоящего момента. Если Вы внимательно смотрели на скриншоты, то могли заметить, что на них отключен Defender. Вы, наверное, спросите, зачем? А я вам отвечу — включённый, он не позволяет протроянить машину, защищённую антивирусом Касперского. Более того, даже будучи выключенным, он отчаянно пытается помешать запуску файла, который KIS 2018 находит весьма привлекательным:

Наконец, вот так выглядит попытка заражения машины, когда на ней вместо KIS стоит родной Defender. Отключена только автоматическая отправка семплов, все остальные модули активны:

Не знаю уж, какой малварью проводят тесты в независимых профессиональных лабораториях, но если Вас интересует мнение человека, который легально занимается атаками в том числе и на Windows-машины — Defender доставляет заметно больше проблем.

Следующий пост о реакции Лаборатории.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *