Hävitav klaasipuhastite pahavara on väga vähe arenenud pärast seda, kui Shamoon viirus kahjustas umbes 30,000 XNUMX kliendi- ja serverisüsteemi Saudi Aramco rohkem kui 10 aastat tagasi. Uue uuringu kohaselt on see aga endiselt suur oht ettevõtete organisatsioonidele.
Trellixi pahavaraanalüütik Max Kersten analüüsis hiljuti enam kui 20 klaasipuhastite perekonda, mis ohustavad osalisi alates selle aasta algusest mitmesugustes rünnakutes – st pahavara, mis muudab failid taastamatuks või hävitab terveid arvutisüsteeme. Ta esitas teisipäeval Wipermania seansi ajal kokkuvõtte oma leidudest Black Hat Lähis-Ida ja Aafrika üritusel.
Puhastite võrdlus looduses
Kersteni analüüs hõlmas a erinevate klaasipuhastite tehniliste aspektide võrdlus uuringus, sealhulgas nendevahelised paralleelid ja erinevused. Kersten kaasas oma analüüsi jaoks klaasipuhastid, mida ohustajad Ukraina sihtmärkide vastu laialdaselt kasutasid, eriti vahetult enne Venemaa sissetungi riiki, aga ka üldisemaid puhastusvahendeid looduses.
Tema analüüs näitas klaasipuhastite arengut, alates Shamoonist, erineb oluliselt muud tüüpi pahavara tööriistadest. Kui näiteks pahavara, mida ohus osalejad spionaažikampaaniates kasutavad, on aastate jooksul muutunud üha keerukamaks ja keerukamaks, on klaasipuhastid väga vähe arenenud, kuigi need on sama hävitavad kui kunagi varem. Suur osa sellest on seotud sellega, kuidas ja miks ohunäitlejad neid kasutavad, räägib Kersten Dark Readingile.
Erinevalt nuhkvarast ja muust sihitud rünnakute ja küberspionaaži jaoks mõeldud pahavarast on vastastel vähe stiimuleid välja töötada uusi funktsioone võrgupuhastite peitmiseks, kui neil on õnnestunud see sinna hiilida. Definitsiooni järgi töötavad klaasipuhastid arvutites olevate andmete kustutamiseks või ülekirjutamiseks ning on seetõttu mürarikkad ja pärast käivitamist kergesti märgatavad.
"Kuna klaasipuhasti käitumine ei pea iseenesest märkamatuks jääma, puudub tõeline stiimul arenemiseks," ütleb Kersten. Tavaliselt alles siis, kui pahavara peab pikema aja jooksul varjatuks jääma, arendavad ohus osalejad välja täiustatud tehnikad ja viivad enne pahavara juurutamist läbi põhjalikud testid.
Kuid klaasipuhastid ei pea olema nii keerulised ega hästi testitud, märgib ta. Enamiku klaasipuhastajaid kasutavate ohustajate jaoks "praegused meetodid töötavad ja nõuavad vähe või üldse mitte mingit kohandamist, välja arvatud uue klaasipuhasti loomine, mida järgmisel rünnakul kasutada."
Kersten leidis, et klaasipuhasti võib olla nii lihtne kui skript, mis eemaldab kõik failid kettalt, või sama keeruline kui mitmeastmeline pahavara, mis muudab failisüsteemi ja/või alglaadimiskirjeid. Seega võib pahavara autoril uue klaasipuhasti väljatöötamiseks kuluv aeg ulatuda mõnest minutist kuni oluliselt pikema perioodini keerukamate klaasipuhastite puhul, ütleb ta.
Nüansirikas oht
Kersten toetab seda, et ettevõtte turvameeskonnad peavad klaasipuhastite vastaste kaitsemeetmete hindamisel silmas mõnda tegurit. Kõige olulisem on mõista ohus osaleja eesmärke ja eesmärke. Kuigi klaasipuhastid ja lunavara võivad nii andmete kättesaadavust häirida, on lunavaraoperaatorid tavaliselt rahaliselt motiveeritud, samas kui klaasipuhasti pahavara kasutava ründaja eesmärgid on nüansirikkamad.
Kersteni analüüs näitas näiteks, et sel aastal kasutasid küberrünnakutes klaasipuhastid peamiselt rahvusriiklike strateegiliste huvide eest seisvad aktivistid ja ohus osalejad. Paljudes rünnakutes võtsid ohus osalejad sihikule Ukraina organisatsioonid, eriti perioodil vahetult enne Venemaa sissetungi riiki veebruaris.
Näited klaasipuhastitest, mida ohustajad nendes kampaaniates kasutasid WhisperGate ja HermeticWiper, mis mõlemad maskeeriti lunavaraks, kuid tegelikult kahjustasid Windowsi süsteemide põhikäivituskirjet (MBR) ja muutsid need kasutuskõlbmatuks.
Teised klaasipuhastid, mida ründajad sel aastal Ukrainas sihtmärkide vastu kasutasid, on RURansom, IsaacWiper ja CaddyWiper, tööriist, mida Venemaa kurikuulus Sandworm rühmitus üritas Ukraina elektrivõrguga seotud Windowsi süsteemides juurutada. Paljude nende rünnakute puhul näib, et need ohustajad, kes need tegelikult toime panid, hankisid klaasipuhastid erinevatelt autoritelt.
Teine tegur, mida turvareageerijad peavad meeles pidama, on see, et klaasipuhastid ei kustuta alati sihtsüsteemist faile. mõnikord võivad klaasipuhastid sihtsüsteemi kahjustada, kirjutades ka faile üle. See võib muutuda, kui proovite pärast klaasipuhasti rünnakut faile taastada.
"Faili kustutamisel jääb fail sageli kettale sellisena, nagu see on, märkides suuruse uute kirjutamistoimingute jaoks tasuta kasutatavaks,” kirjutas Kersten oma uurimistöö kohta ajaveebipostituses, mis avaldati paralleelselt tema Black Hat kõnega 15. novembril. See võimaldab faile taastada paljudel juhtudel, ütles ta.
Kui klaasipuhasti tööriist faile üle kirjutades rikub, võib faile olla raskem taastada. Blogipostituses osutas Kersten WhisperGate'i klaasipuhastile, mis rikkus failid, kirjutades iga faili esimese megabaidi korduvalt üle 0xCC-ga. Teised klaasipuhastid, nagu RURansom, kasutavad iga faili jaoks juhuslikku krüpteerimisvõtit, samas kui mõned klaasipuhastid kirjutavad failid üle pahavara enda koopiatega. Sellistel juhtudel võivad failid jääda kasutuskõlbmatuks.
Peamine järeldus on see, et organisatsioonid peavad klaasipuhastiteks valmistuma samamoodi nagu lunavaranakkusteks, ütleb Kersten. See hõlmab kõigi kriitiliste andmete varukoopiate loomist ning taasteprotsesside sagedast ja ulatuslikku testimist.
"Peaaegu iga klaasipuhasti suudab süsteemi rikkuda, kuni kõik failid kaovad või masin ei tööta enam korralikult," märgib ta. "Kuna klaasipuhastiid on lihtne ehitada, saavad ründajad vajaduse korral iga päev uue ehitada."
Seega keskenduvad organisatsioonid vastase taktikale, tehnikatele ja protseduuridele (TTP-d) – näiteks külgsuunalisele liikumisele. - mitte pahavara ise.
Kersten ütleb, et parem on valmistuda löögiks [puhasti rünnakust], kui seda pole ette teatamata.
