s ataques de injeção de modelo geralmente são apenas uma nota de rodapé nas discussões sobre as principais ameaças atuais. No entanto, documentos armados estão se tornando um problema cada vez mais premente, como foi destacado pela equipe do Menlo Labs ao rastrear um recente ressurgimento de tais ataques.
Grande parte do problema atual decorre dos esforços dos invasores para direcionar essa ameaça específica de maneiras cada vez mais inteligentes. De downloads da web e unidades compartilhadas a feeds de mensagens de texto e tópicos de e-mail, os cibercriminosos estão se tornando mais inventivos e avançados na implantação de documentos falsos.
Em minha última coluna , analisei detalhadamente como funcionam os documentos de injeção de modelos armados e como evitá-los. Se você é novo no assunto, recomendo dar uma olhada primeiro.
Para recapitular rapidamente, os ataques de modelo de injeção são uma forma de ataque de viver fora da terra (LotL) usado por adversários para injetar um URL malicioso em um documento para renderizar um modelo malicioso hospedado em uma máquina local ou remota.
Desde essas descobertas iniciais, a equipe do Menlo Labs ampliou o escopo de seus estudos sobre ataques de injeção de modelo – esforços que nos levaram a encontrar vários documentos armados que agora usam uma interessante técnica de camuflagem.
Projetados para ocultar URLs a olho nu, esses documentos continham um endereço IP decimal ou usavam um formato de URL obscuro para buscar o modelo hospedado remotamente, cujo objetivo é contornar os mecanismos de inspeção de conteúdo baseados em arquivos que procuram especificamente por URLs baseados padrões.
Essa técnica específica – que chamamos de Legacy URL Reputation Evasion (LURE) – é mais um exemplo de uma técnica de Ameaça Adaptativa Altamente Evasiva (HEAT) que os agentes de ameaças usam para superar a pilha de segurança tradicional que quase todas as organizações usam.
Aqui, vamos nos aprofundar no uso específico de ataques de injeção de modelo camuflado.
Como os invasores estão explorando as notações complexas de endereços IP
Normalmente, um endereço IP é definido por uma notação decimal com ponto, geralmente no formato XXX.XXX.XXX.XXX.
Embora esta seja a notação mais comum, ela não é exclusiva. De fato, uma variedade de notações diferentes pode ser usada para endereços IP, incluindo notação octal, notação hexadecimal, notação decimal/DWORD, notação binária, notação codificada e notação mista.
Além disso, existe outra conhecida como ‘notação decimal com pontos otimizada’. Aqui, os 0s em um endereço IP são suprimidos ou compactados.
Com exceção da notação binária, essa ampla variedade de notações é aceita pelos navegadores. Infelizmente, onde esse complicado cenário de notação representa um desafio para os mecanismos de inspeção de conteúdo com base em arquivo, ele torna o uso de URLs obscuros um caminho atraente e viável para agentes de ameaças.
Vejamos os ataques semânticos enganosos do Uniform Resource Identifier (URI) como exemplo.
Aqui, os agentes de ameaças podem usar um subcomponente ‘@’ userinfo em esquemas de URI para criar um formato de URL obscuro ou URI enganoso. Um exemplo disso pode ser ‘https://[email protected]’, onde o ‘@’ funciona como um delimitador, ignorando ‘teste’ e, por sua vez, resolvendo para google.com quando visitado pela barra de endereços do navegador. Ele também deve usar o componente de autoridade ‘://’ para criar um URI enganoso.
Isso acabou sendo um experimento interessante para nós, onde descobrimos que isso também poderia ser feito com notações octais, hexadecimais e decimais. No entanto, também identificamos que as notações octal, hexadecimal e decimal/DWORD foram tratadas como links inválidos pela maioria dos aplicativos.
Além disso, também descobrimos que um invasor pode mascarar a URL maliciosa por trás de uma URL benigna. URLs como ‘https://[email protected]’ e ‘https://[email protected]’, por exemplo, resolvem para google.com.
URLs camuflados e proteção contra eles
Isso pode parecer complicado, e seu funcionamento interno pode ser. No entanto, o ponto principal é que o uso de notações de IP não padrão suportadas pelo navegador e um URI enganoso atuam como camuflagem, que os invasores podem usar para contornar os mecanismos de inspeção de conteúdo.
Na verdade, existem três métodos principais que os agentes de ameaças podem usar para conseguir isso:
- Crie um link com notações octal, hexadecimal ou decimal para que um aplicativo trate o link como inválido.
- Crie um link com um URI enganoso (ataque semântico) usando notações octais, hexadecimais ou decimais.
- Crie um link com um URI enganoso (ataque semântico) mascarando um URL malicioso com um URL benigno.
Esses métodos não são novos. De fato, a Trustwave citou exemplos de tais evasões de URL em setembro de 2020, apontando especificamente para o uso de um formato de endereço IP hexadecimal codificado e um ataque semântico de URL que mascarou um URL encurtado.
No entanto, agora estamos vendo URLs camuflados usados em documentos de injeção de modelo armados, aproveitando a notação decimal ou URIs enganosos (ataques semânticos) com notação decimal.
Curiosamente, dois documentos que analisamos usando URLs de notação decimal também continham vários “.” e caracteres “-” como camuflagem. No entanto, é importante observar que essas técnicas de camuflagem serão reveladas automaticamente sem a intervenção do usuário.
De fato, ao abrir o documento armado, o URL camuflado se revela e baixa um modelo contendo um exploit RTF ( CVE-2017-11882 ) para instalar malware como FormBook, Snake Keylogger e SmokeLoader.
Como apontamos anteriormente , uma das formas mais eficazes de se proteger contra ataques de injeção de templates – sejam eles camuflados ou não – é por meio da tecnologia de isolamento.
As organizações não podem mais contar com ferramentas de segurança tradicionais para proteção contra ameaças avançadas feitas sob medida para ignorar tecnologias de proteção desatualizadas. Com o isolamento, todos os documentos são abertos em um contêiner de nuvem longe do endpoint do usuário, impedindo que qualquer conteúdo ativo ou malicioso chegue ao endpoint.
Infosecurity-magazine
13 thoughts on “Ataques de injeção de modelo: proteção contra URLs camuflados”
Comments are closed.