На прошлой неделе ИБ-специалист CERT/CC Уилл Дорманн (Will Dormann) опубликовал исследование, посвященное тому, как Windows работает с образами дисков VHD и VHDX. Дорманн объяснял, что для ОС такие образы, в сущности, являются черным ящиком, и сканирование файлов внутри них не осуществляется до тех пор, пока образ не будет смонтирован, а файлы не запустятся.

Хуже того, антивирусы тоже игнорируют содержимое таких образов, которые открываются простым двойным кликом, подобно ZIP-архивам. На видео ниже можно увидеть демонстрацию, во время которой угроза в архиве обнаруживается защитой, а вот виртуальный жесткий диск не вызывает никаких подозрений.

Исследованием Дорманна быстро заинтересовались и другие ИБ-специалисты. К примеру, эксперт, известный под псевдонимом JTHL, провел собственный эксперимент и поместил в образ диска малварь AgentTesla. Дело в том, что образы VHD и VHDX необязательно должны быть большими, их можно сделать и компактными, чтобы, например, прикрепить к письму и отправить жертве по электронной почте. Так, VHD-файл JTHL получился всего 7 Мб размером. Проверка показала, что антивирусные решения не замечают малварь до тех пор, пока дело не дойдет до монтирования диска.

Еще один специалист по безопасности, Ян Полсен, отмечает, малвари в файлах образов «не видят» отнюдь не только антивирусные решения. Для теста он создал скрипт, который, используя diskpart, автоматически монтировал VHD-файл и запускал вредоносное ПО внутри. Эту угроза была проигнорирована фильтрами Gmail (хотя к уже упомянутым архивам Gmail относится с подозрением), осталась незамеченной при загрузке файла с помощью Google Chrome, а также ее упустил из виду Windows Defender.

В итоге Полсен создал грубый PoC-эксплоит, автоматически запускавший AgentTesla из образа виртуального жесткого диска. Фактически это позволило запустить малварь из VHD-файла, и антивирусное ПО не замечает ее вплоть до запуска на хосте жертвы. Конечно, для использования diskpart необходимы права администратора, но эксперт отмечает, что здесь потенциальным злоумышленникам  могут помочь уязвимости, позволяющие повысить привилегии.

2 комментария

  1. Аватар

    Diflyrest

    13.09.2019 at 00:57

  2. Аватар

    Maxim Elchugin

    13.09.2019 at 02:48

    То что фильтры GMail помогает обойти — это конечно хорошо, но а принципиально, что это даёт?
    Можно закриптованый файл, с таким же успехом, на машину к жертве загрузить. Толку то, если на старте всё равно детект идёт?

Оставить мнение