Сообщения о сбоях Windows, также известные как доклады Dr. Watson, отправляются в незашифрованном виде в Microsoft, которая использует их для исправления ошибок. Эти сообщения содержат большой объем системных данных, которые Microsoft применяет для улучшения взаимодействия пользователя с продуктами компании. Но поскольку эти сведения отправляются в Редмонд прямым текстом без шифрования, они подвержены риску перехвата хакерами, которые могут использовать их для поиска потенциальных уязвимостей и разработки эксплойтов для них.

Хотя это может показаться надуманным, в конце декабря немецкое издание сообщило, что Агентство национальной безопасности США сделало именно это — использовало свой инструмент XKeyscore для сбора сообщений о сбоях с целью создания эксплойтов.

Единственным способом отражения этой угрозы является отключение функции отправки сообщений о сбоях, но массово это не делается; Microsoft получает миллиарды этих докладов от 80% установленных систем.

Компания Websense, занимающаяся информационной безопасностью, призвала администраторов действовать на опережение и использовать сообщения о сбоях в качестве первого шага обнаружения продвинутых атак против их организаций, так как эксплойты обычно вызывают ненормальное поведение приложений.

Компания выпустила отчет, в котором описывает, как именно это сделать. Также в отчете рассказано, как это удалось обнаружить в процессе проведения атаки против крупного оператора сотовой связи и веб-сайта турецкого правительства. Помимо этого там описывается другая кампания, нацеленная на POS-системы с помощью варианта троянца ZeuS, заражающего POS-устройства и системы бэк-энда.

Суть метода состоит в различии между сбоями, которые происходят из-за эксплойтов, и теми, которые вызваны ошибками программирования. Например, сбои, случившиеся вне пространства программируемой памяти, могут быть признаком активности эксплойта, служащего для удаленного запуска кода на исполнение.

«Этот след из хлебных крошек ведет к кое-чему интересному», — сказал Алекс Ватсон, директор по исследованиям информационной безопасности в Websense.

Ватсон сказал, что его компания собрала 16 млн сообщений о сбоях за четырехмесячный период в поисках сбоев, вызванных неизвестными эксплойтами против CVE-2013-3893, уязвимости в Internet Explorer 6-11. Она была использована в атаках Deputy Dog методом водопоя, проведенных против нескольких азиатских компаний из значимых отраслей. Процессы, ведущие к сбоям системы, позволили Websense определить нарушения, вызываемые попытками применения эксплойтов.

Из 16 млн сообщений о сбоях пять сообщений из четырех организаций содержали в себе определенные Websense признаки, включая области памяти, в которых IE может сбоить, будучи атакованным эксплойтом для CVE-2013-3893.

Как оказалось, две организации были поражены троянцем HWorm, используемым для целевых атак. По словам Ватсона, одновременно с обнаружением признаков использования эксплойта обе организации сообщили об атаке с помощью инструментов удаленного администрирования (RAT).

«Мы смогли связать неудавшуюся попытку применения эксплойта с RAT, чтобы разработать некий признак общей техники», — сказал Ватсон.

Websense заявила, что собрала данные сбоев с POS-приложений, аналогичных тем, что были скомпрометированы при взломах Target и Neiman Marcus зловредом класса RAM scraper («прочесыватель памяти»). Большая часть докладов о сбоях, использованных Websense, были получены из сети одежных магазинов в восточной части США. Как сообщила компания, организация была заражена версией ZeuS, которая проникла на POS-устройства и приложения. По словам Ватсона, зловреды пытались подключаться к серверам управления и контроля одновременно со сбоями приложений.

«Большинство современных эксплойтов заставляют приложения работать непредусмотренным способом, что выливается в исполнение шелл-кода и прочие такие вещи, — сказал Ватсон. — Из-за Microsoft, создающей продвинутые технологии вроде ASLR, которые делают действительно сложным успешное применение эксплойтов, эксплойты все чаще вызывают сбой системы. Как только злоумышленники попадут в сеть и проберутся мимо периметра системы безопасности, они начинают считать, что вышли из зоны контроля IPS-систем, и начинают идти самым коротким путем, применяя эксплойты на своей цели. И при этом есть большие шансы на сбои приложений в сети».

Категории: Вредоносные программы, Кибероборона, Уязвимости