Δεν πέρασε ούτε μια εβδομάδα από την δημοσιοποίηση της αδυναμίας σε αρχεία Word, που εντοπίστηκε από ερευνητές ασφάλειας να χρησιμοποιείται για εγκατάσταση λογισμικού απομακρυσμένης διαχείρισης σε εταιρείες/οργανισμούς και άλλη μια αδυναμία κάνει αυτή την φορά την εμφάνισή της. Η αδυναμία, σύμφωνα με πληροφορίες που έχει στην διάθεσή του το SecNews, βρίσκεται στην εφαρμογή Winrar, η οποία χρησιμοποιείται κατά κόρον από μεγάλο αριθμό χρηστών για την αποσυμπίεση συμπιεσμένων αρχείων RAR (αλλά και λοιπών επεκτάσεων όπως ΖIP).
Πως πραγματοποιείται η επίθεση
Το θύμα μιας επίθεσης με συμπιεσμένο αρχείο, λαμβάνει ένα επισυναπτόμενο αρχείο (με κωδικό ή χωρίς) όπου ο αποστολέας (συνήθως γνωστός του θύματος με αλλοιωμένη e-mail διεύθυνση) του αναφέρει ότι επισυνάπτει το αρχείο πωλήσεων, την bonus list της εταιρείας, συμπιεσμένες φωτογραφίες από το τελευταίο event/party που παρευρέθηκαν μαζί ή μια φόρμα αναφοράς προόδου εργασιών. Το αρχείο επαναλαμβάνουμε εμφανίζεται συμπιεσμένο με επέκταση ZIP και εύγλωττο τίτλο (πχ Action.Report.Week28.zip).
Μόλις ο χρήστης πραγματοποιήσει διπλό κλικ στο συμπιεσμένο attachment, βλέπει τα υποτιθέμενα συμπιεσμένα αρχεία που είναι αρχεία word ή φωτογραφίες ή αρχεία ήχου. Μόλις πραγματοποιήσει click σε ένα οποιοδήποτε αρχείο, αυτό ανοίγει κανονικά (είτε πρόκειται για φωτογραφία, είτε αρχείο ήχου είτε αρχείο word) ενώ ταυτόχρονα και χωρίς να γίνει αντιληπτό από τον χρήστη πραγματοποιείται εγκατάσταση του λογισμικού απομακρυσμένης διαχείρισης.
Συνεπώς οι επίδοξοι υποκλοπείς/βιομηχανικοί κατάσκοποι χρησιμοποιώντας την αδυναμία στην εφαρμογή Winrar, κατορθώνουν να αποπροσανατολίσουν τα θύματά τους, αλλοιώνοντας επεκτάσεις αρχείων ώστε να εμφανίζονται ως φωτογραφίες, αρχεία κειμένου ή αρχεία ήχου ενώ στην πραγματικότητα είναι εκτελέσιμα αρχεία!
Τεχνικές Λεπτομέρειες της επίθεσης
Πώς όμως μπορεί να γίνει κάτι τέτοιο? Δείτε την μεθοδολογία που χρησιμοποιούν οι hackers (αναδημοσιεύουμε από το blog του Ani7 hacker-ερευνητή ασφάλειας) για να δημιουργήσουν τα υποτιθέμενα συμπιεσμένα αρχεία. Η διαδικασία είναι εξαιρετικά απλή και μπορεί να πραγματοποιηθεί από τον οποιονδήποτε με ελάχιστα μάλιστα γνώσεις!
Όταν συμπιέζουμε ένα αρχείο σε μορφή ZIP με την εφαρμογή WinRar το παραγόμενο αρχείο έχει την ίδια δομή, με την διαφορά ότι το Winrar προσθέτει κάποια επιπλέον πεδία. Για παράδειγμα ένα αρχείο TEST1.txt που περιέχει τα δεδομένα “ΑΑΑΑΑ” αφού συμπιεστεί ως ΖΙP αρχείο (Test1.zip) με την εφαρμογή έχει την παρακάτω μορφή:
Στο παράδειγμά μας παρατηρούμε ότι η εφαρμογή Winrar πρόσθεσε το πεδίο file name στο συμπιεσμένο αρχείο. Πρόσθετη ανάλυση, δείχνει ότι το δεύτερο όνομα είναι το “File name” του αρχείου, όνομα το οποίο θα δώσει η εφαρμογή Winrar στο εξαγόμενο ασυμπίεστο αρχείο. Το First name υποδηλώνει το όνομα του αρχείου όπως εμφανίζετε στο γραφικό περιβάλλον του Winrar (GUI). Και εκεί ακριβώς βρίσκεται η αδυναμία της εφαρμογής. Τι θα συμβεί αν ένας κακόβουλος χρήστης αλλοιώσει το πρώτο και δεύτερο όνομα (δηλαδή το εξαγόμενο και αυτό που φαίνεται στο γραφικό περιβάλλον της εφαρμογής)? Δείτε λοιπόν τι ακριβώς κάνουν!
Βήμα 1
Δημιουργούν καταρχήν την κακόβουλη εφαρμογή (που επιτρέπει την απομακρυσμένη πρόσβαση στον υπολογιστή του θύματος). Στο παράδειγμά μας έχει χρησιμοποιηθεί ένα απλό εκτελέσιμο αρχείο, που για λόγους επίδειξης εμφανίζει ένα απλό παράθυρο (PWNED)
Βήμα 2
Συμπιέζουν το ΕΚΤΕΛΕΣΙΜΟ αρχείο με το Winrar επιλέγοντας την μέθοδο WinZip
Βήμα 3
Πραγματοποιούν άνοιγμα του συμπιεσμένου αρχείου με έναν απλό hex editor και αλλοιώνουν το δεύτερο όνομα ΜΟΝΟ στο ψεύτικο επιθυμητό όνομα (πχ MyPrivateImage.jpg) και επιλέγουν “Save” στο αλλοιωμένο συμπιεσμένο αρχείο
Βήμα 4
Το αποτέλεσμα είναι ότι όταν το ανυποψίαστο θύμα ανοίξει με την εφαρμογή Winrar το συμπιεσμένο αρχείο, το εκτελέσιμο αρχείο θα εκτελεστεί αυτόματα ενώ ο χρήστης θα βλέπει συμπιεσμένη μια φωτογραφία (και όχι ένα εκτελέσιμο αρχείο)
Απαιτούμενες ενέργειες
Το SecNews έχει στην διάθεσή του σχετικό αρχείο από επίθεση που πραγματοποιήθηκε εναντίον οργανισμού κοινής ωφέλειας, που απέστειλε διαχειριστής-φίλος της ιστοσελίδας. Έπειτα από έρευνα που πραγματοποιήσαμε διαπιστώσαμε ότι η συγκεκριμένη μεθοδολογία επίθεσης παρουσιάζει υψηλή έξαρση τις τελευταίες εβδομάδες σε συνδυασμό μάλιστα με την επίθεση με αρχεία Word που δημοσιεύσαμε πριν μερικές ημέρες.
Σύμφωνα με τα στοιχεία που προέκυψαν η τεχνική ομάδα του SecNews προτείνει :
α) Οι διαχειριστές δημοσίων υπηρεσιών, οργανισμών και εταιρειών πρέπει άμεσα να πραγματοποιήσουν δειγματοληπτικό έλεγχο σε εισερχόμενα συμπιεσμένα αρχεία! Επιπλέον με την ως άνω γνωστοποίηση εκτιμούμε ότι θα πρέπει να αποτραπεί η είσοδος συμπιεσμένων αρχείων από άγνωστους αποστολείς προς e-mail εργαζομένων.
β) Η επίθεση αλλά και η εγκατάσταση malware, σύμφωνα με τις ίδιες πληροφορίες, δεν εντοπίζετε από οποιοδήποτε γνωστό Antivirus/ Antimalware ενώ παρακάμπτει σχεδόν οποιονδήποτε Proxy server/content filter παρέχει Internet πρόσβαση στον τερματικό υπολογιστή.
γ) Οι διαχειριστές δημοσίων υπηρεσιών,οργανισμών, χρηματοπιστωτικών ιδρυμάτων και εταιρειών οφείλουν να ενημερώσουν τους χρήστες με σχετικές ανακοινώσεις για πιθανή λήψη περίεργων zip αρχείων με επισυναπτόμενες φωτογραφίες,αρχεία ήχου ή word έγγραφα. Ως μέτρο προστασίας πιθανόν για περιορισμένο χρονικό διάστημα να ήταν ορθό να μην επιτρέπετε η χρήση zip αρχείων, με προσθήκη φίλτρων σε επίπεδο Antispam ή Mailserver.
δ) να απεγκαταστήσουν ΑΜΕΣΑ την εφαρμογή Winrar όπου υπάρχει εγκατεστημένη σε τερματικούς σταθμούς χρηστών (ιδιαίτερα σε διευθύνσεις πληροφορικής).
