{"id":24738,"date":"2021-05-24T15:09:44","date_gmt":"2021-05-24T13:09:44","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=24738"},"modified":"2022-07-07T17:21:51","modified_gmt":"2022-07-07T15:21:51","slug":"rsa2021-windows-xp-vulnbins","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/rsa2021-windows-xp-vulnbins\/24738\/","title":{"rendered":"Vecchi exploit su sistemi moderni"},"content":{"rendered":"

Gli attacchi di tipo Living off the Land<\/a> (che utilizzano programmi legittimi o caratteristiche del sistema operativo per causare danni) non sono una novit\u00e0; tuttavia, poich\u00e9 gli esperti monitorano i software moderni suscettibili ad attacchi LotL, i criminali informatici si sono dovuti innovare. Alla RSA Conference 2021,<\/a> iricercatori Jean-Ian Boutin e Zuzana Hromcova hanno descritto<\/a> una di queste innovazioni, ovvero l\u2019uso di componenti e programmi legittimi di Windows XP.<\/p>\n

Living off the Land e componenti vulnerabili di Windows XP<\/h2>\n

Studiando l\u2019attivit\u00e0 del gruppo InvisiMole<\/a>, Boutin e Hromcova hanno notato che l\u2019uso di file per questo sistema operativo obsoleto ormai da tempo li aiutava a passare inosservati. I ricercatori hanno dato a file il nome generale di VULNBins, simile al nome LOLBins, che la comunit\u00e0 di sicurezza applica ai file utilizzati negli attacchi Living off the Land.<\/p>\n

Naturalmente, scaricare un file obsoleto sul computer della vittima richiede l\u2019accesso al computer. Ma i VULNBin sono generalmente utilizzati per permanere in un sistema mirato senza essere notati, non per un tentativo efficace di intrusione.<\/p>\n\n

Esempi specifici di utilizzo di programmi e componenti di sistema obsoleti<\/h2>\n

Se un cybercriminale non riesce a ottenere i diritti di amministratore, una tattica che pu\u00f2 utilizzare per rimanere nel sistema implica l\u2019uso di un vecchio lettore video su cui \u00e8 presente una nota vulnerabilit\u00e0 buffer overflow<\/em>. Attraverso il Task Scheduler, i criminali informatici creano una attivit\u00e0 programmata che richiede l\u2019uso del lettore (il cui file di configurazione \u00e8 stato modificato per sfruttare la vulnerabilit\u00e0) e caricano il codice necessario per la fase successiva dell\u2019attacco.<\/p>\n

Se i criminali informatici di InvisiMole riescono a ottenere i diritti di amministratore, possono implementare un altro metodo che utilizza il componente legittimo del sistema setupSNK.exe, la libreria di Windows XP wdigest.dll, e Rundll32.exe (anch\u2019esso dal sistema obsoleto), necessario per eseguire la libreria. Successivamente manipolano i dati che la libreria carica in memoria. La libreria \u00e8 stata creata prima dell\u2019applicazione della tecnologia ASLR, quindi i criminali informatici conoscono l\u2019indirizzo esatto dove verr\u00e0 caricata nella memoria .<\/p>\n

La maggior parte del payload dannoso \u00e8 memorizzata nel registro in forma cifrata, e tutte le librerie e gli eseguibili che usano sono legittimi. Per questo motivo a tradire la presenza di un nemico all\u2019interno sono solamente il file con le impostazioni del lettore e il piccolo exploit che riguarda le librerie obsolete. Di norma, questo non \u00e8 sufficiente per insospettire un sistema di sicurezza.<\/p>\n

Come rimanere protetti<\/h2>\n

Per impedire ai criminali informatici di utilizzare vecchi file e componenti di sistema obsoleti (specialmente quelli firmati da un editore legittimo), un buon inizio sarebbe quello di disporre di un database di tali file. Permetterebbe alle difese esistenti di bloccarli o almeno rintracciarli (se per qualche motivo il blocco non fosse possibile). Ma vorrebbe dire portarsi molto avanti.<\/p>\n

Fino a quando tale elenco non esister\u00e0, usate la nostra soluzione EDR<\/a> per:<\/p>\n