Ερευνητές ασφάλειας της FireEye λένε ότι βρήκαν Angler Exploit Kit εγκαταστάσεις ικανές να αποφύγουν μερικά από τα προστατευτικά μέτρα ασφαλείας που παρέχονται από το Microsoft EMET Toolkit για τα Windows 7.
EMET σημαίνει Enhanced Mitigation Experience Toolkit και είναι ένα λιγότερο γνωστό προϊόν ασφάλεια, που παρέχεται από τη Microsoft, και που σχεδιάστηκε για να προσθέτει ένα επιπλέον επίπεδο ασφάλειας στα Windows συστήματα.
To Toolkit δεν είναι ένα αυτόνομο antivirus, διότι δεν θα αναζητήσει ενεργά ένα κακόβουλο λογισμικό, αλλά θα θέσει σοβαρή άμυνα κάθε φορά που το κακόβουλο λογισμικό προσπαθεί να εκμεταλλευτεί ευάλωτα στοιχεία.
Μέχρι τώρα, οι ερευνητές ασφάλειας έχουν ανακαλύψει μερικούς τρόπους για να παρακάμψουν τις EMET άμυνες, αλλά καμία δεν έχει χρησιμοποιηθεί σε επιθέσεις στον πραγματικό κόσμο.
Σύμφωνα με τη FireEye, τις τελευταίες εβδομάδες, η εταιρεία έπεσε πάνω σε μερικές Angler Exploit Kit εγκαταστάσεις που μπορούν να παρακάμψουν την EMET προστασία για τα Windows 7.
Οι ερευνητές υποστηρίζουν ότι το Angler EK αναπτύσσει δύο exploits, ένα για το Flash και ένα για το Silverlight. Αυτά τα δύο exploits πραγματοποιούν δύο calls προς τα προαναφερθέντα plugins και τρέχουν τον κώδικά τους μέσω μιας προστατευόμενης υποδοχή μνήμης που τους επιτρέπει να παραδώσουν το κακόβουλο payload, ανεξάρτητα από τα DEP (Data Execution Mitigation), EAF (Export Address Table Access Filtering) και EAF + mitigations του EMET.
Για αυτή τη συγκεκριμένη καμπάνια, οι απατεώνες χρησιμοποίησαν το Angler για να παρακάμψουν το EMET και να εγκαταστήσουν το TeslaCrypt ransomware. Αυτά τα exploits δούλευαν ακόμη και στην τελευταία 5.5 έκδοση του EMET.
“Το επίπεδο πολυπλοκότητας στα exploits kit έχει αυξηθεί σημαντικά κατά τη διάρκεια των ετών,” σημείωσαν οι Raghav Pande και Amit Malik της FireEye. “Όταν το obfuscation και τα νέα zero days ήταν κάποτε μόνο προσθήκες στον κύκλο ανάπτυξης, ο evasive κώδικας έχει πλέον παρατηρηθεί ότι ενσωματώνεται στα framework και shellcode.”
Τον περασμένο Φεβρουάριο, η ίδια ομάδα της FireEye ανακάλυψε μια μέθοδο για να χρησιμοποιεί τα προστατευτικά μέτρα ασφάλειας της EMET για να απενεργοποιεί τον εαυτό του.
