Un ricercatore di sicurezza ha individuato alcune falle nel codice di ransomware di peso come Conti, REvil, LockBit, AvosLocker ecc... che possono essere sfruttate per bloccare il malware prima che avvii la criptazione. Come? Tramite un attacco di DLL Hijacking.
I ransomware vulnerabili al DLL hijacking
Siamo abituati a pensare ai cyber criminali che sfruttano le vulnerabilità delle reti aziendali per ottenervi l'accesso. Nella storia che stiamo per raccontare è invece successo l'opposto: un ricercatore di sicurezza ha analizzato il codice di operazioni ransomware famose come Conti, il redivivo REvil, l'ultimo arrivato (per fortuna non ancora in Italia) Black Basta, Lockbit e ha trovato delle falle sfruttabili tramite exploit kit appositamente preparati. Insomma, gli hacker sono stati hackerati.
Per saperne di più >
- Revil: Il ritorno di REvil: individuata una nuova versione in diffusione. Il ransomware è tornato in attività;
- Conti: Cyber attacchi in Italia: anatomia del ransomware Conti;
- Lockbit: Ransomware Lockbit 2.0 colpisce ancora in Italia: il manuale di difesa
- la descrizione della vulnerabilità individuata;
- ha fornito l'hash del campione;
- un proof-of-concept (PoC) dell'exploit
- un video dimostrativo.
In comune tutti i campioni ransomware violati hanno quello di essere vulnerabili ad attacchi di DLL hijacking.
DLL hijacking in breve
è una forma di attacco conosciuta, popolare ed estremamente diffusa. Consiste, in parole semplici, nel compromettere la routine di esecuzione di un file eseguibile al fine di forzarlo a caricare una libreria DLL esterna. In questa DLL esterna gli attaccanti possono inserire codice (code injection) di vario tipo e performare molteplici tipi di attacchi.
Il DLL hijacking funziona solo sui sistemi Windows e influisce, praticamente, sulle modalità con cui un applicativo cerca e carica in memoria le DLL di cui abbisogna per funzionare. Se l'attaccante riesce a dirottare il programma a caricare DLL esterne, anche da path esterni alla propria directory, questo eseguirà i comandi che trova nella DLL "clandestina": si rendono così possibili sia attacchi di escalation dei privilegi che l'esecuzione di codice dannoso.
L'exploit che consente di "controllare e terminare i malware prima della criptazione"
Tornando al nostro ricercatore hyp3rlink, questi ha affermato che i campioni ransomware Conti, REvil, LockBit, Black Basta, LockiLocker e AvosLocker sono vulnerabili ad exploit che, se eseguiti con successo, consentono di eseguire codice che può controllare e terminare il ransomware prima che avvii la criptazione dei dati.
Per sfruttare le vulnerabilità individuate, hyp3rlink ha programmato un exploit che necessita di essere compilato entro una DLL con uno specifico nome, così che il codice dannoso del ransomware possa riconoscerla come propria e caricarla al momento di iniziare a criptare i dati.
Il video sotto mostra come il ricercatore sia riuscito ad sfruttare la vulnerabilità di REvil per eseguire l'attacco DLL hijacking, terminando il malware prima che avvii il processo di criptazione.
Come si vede, secondo Hyp3rlink ci si può difendere dai ransomware sopra elencati proprio piazzando una DLL già modificata proprio nel percorso in cui solitamente i cyber attaccanti piazzano ed eseguono il ransomware come, ad esempio, una location di rete contenente dati molto importanti. In caso di attacco ransomware, se la DLL di exploit è caricata nel posto giusto, il ransomware la caricherà ad eseguirà, terminando se stesso prima di avviare le operazioni di criptazione dei dati.
Hyp3rlink fa notare anche che questa tecnica ha un ulteriore vantaggio: solitamente i ransomware sono dotati di una serie di funzionalità (oppure sono preceduto da specifici tool) il cui scopo è quello di preparare il terreno alla criptazione rimuovendo più ostacoli possibili. Tra questi ostacoli troviamo le soluzioni di sicurezza, un bersaglio fisso dei gruppi ransomware. Ma i ransomware non posso nulla contro le DLL, perché sono file archiviati sul disco rigido dell'host del tutto immobili ed inerti fino al momento in cui sono caricati da qualche applicativo. In sunto, gli attaccanti paiono disarmati contro attacchi DLL Hijacking.
Resta un interrogativo: per quali versioni dei ransomware elencati è efficace questo exploit? Per quanto?
La domanda è lecita e interessante, perché è piuttosto comune che i gruppi ransomware correggano rapidamente i bug del proprio codice, soprattutto quando divengono di pubblico dominio. E' probabile quindi che questa soluzione resti valida ed efficace solo per pochi giorni, fermo restando che le aziende rimangono comunque esposte al rischio di esfiltrazione e furto dati. L'exploit con il DLL Hijacking infatti non impedisce l'esfiltrazione dei dati, ma solo l'avvio della routine di criptazione.
Resta indubbia l'utilità di una soluzione come questa, qualora si abbia la fortuna che duri nel tempo: non sarà sventato il furto dati, ma sicuramente renderà impossibile criptare i dati mettendo in salvo le vittime da eventuali interruzioni operative.
Hackerare gli Hacker: il progetto Malvuln
Per i veri appassionati, dedichiamo qualche parola all'interessante lavoro di Hyp3rlink, specializzato in attacchi contro gli attaccanti come nella migliore tradizione del "la miglior difesa è l'attacco". Il progetto Malvuln si concentra nello scovare vulnerabilità nel codice dei malware più diffusi, dai trojan alle backdoor, dagli spyware ai semplici infostealer.
L'ultimo malware "violato" è stato RedLine, un infostealer molto venduto nei forum dell'underground haking, anch'esso vulnerabile ad attacchi di DLL Hijacking. Qui il report pubblicato da Hyp3rlink.
Qui il sito web del progetto Malvuln
Qui il canale Youtube con i video dimostrativi
Nessun commento:
Posta un commento