Template Injection napadi često su samo bilješka u raspravama o glavnim prijetnjama današnjice. Ipak, “naoružani dokumenti” postaju sve veći problem, kao što je istaknuo tim Menlo Labsa u praćenju nedavnog ponovnog oživljavanja takvih napada.
Velik dio sadašnjeg problema proizlazi iz nastojanja napadača da usmjere ovu specifičnu prijetnju na sve inteligentnije načine. Cyber kriminalci postaju sve inventivniji i napredniji u postavljanju dokumenata -mamaca.
Template Injection napadi oblik su (LotL) napada koji protivnici koriste za ubacivanje zlonamjernog URL-a u dokument kako bi prikazali zlonamjerni template koji se nalazi na lokalnom ili udaljenom računaru.
Od ovih početnih otkrića, tim Menlo Labsa proširio je opseg svojih studija o ovim napadima – naporima koji su nas doveli do susreta s nekoliko naoružanih dokumenata koji koriste zanimljivu tehniku kamuflaže.
Dizajnirani da sakriju URL-ove od golog oka, ovi su dokumenti ili sadržavali decimalnu IP adresu ili su koristili opskurni format URL-a za dohvaćanje templatea s udaljenim hostom, čiji je cilj zaobići motore za pregled sadržaja temeljene na datotekama koji posebno pretražuju URL-ove.
Ova specifična tehnika još je jedan primjer tehnike prilagodljive prijetnje s visokom eliminacijom (HEAT) koju akteri prijetnji koriste kako bi prešli tradicionalni sigurnosni sklop koji koristi gotovo svaka organizacija.
Kako napadači ulaze u složene zapise IP adresa
Obično je IP adresa definirana decimalnim zapisom s tačkama, obično u formatu XXX.XXX.XXX.XXX.
Iako je ovo najčešći zapis, nije isključiv. Niz različitih notacija može se koristiti za IP adrese, uključujući oktalnu notaciju, heksadecimalnu notaciju, decimalnu/DWORD notaciju, binarnu notaciju, kodiranu notaciju i mješovitu notaciju.
Osim toga, postoji još jedan poznat kao ‘0 optimizirana decimalna notacija s tačkama’. Ovdje su 0 u IP adresi ili potisnute ili komprimirane.
Osim binarne notacije, browseri prihvataju ovu široku paletu notacija. Nažalost, tamo gdje ovaj komplicirani notacijski krajolik predstavlja izazov za engine za pregled sadržaja koji se temelje na datotekama, on čini upotrebu nejasnih URL-ova primamljivim i izvedivim putem za aktere prijetnji.
Pogledajmo kao primjer obmanjujuće semantičke napade Uniform Resource Identifier (URI).
Ovdje akteri prijetnji mogu koristiti potkomponentu ‘@’ userinfo u shemama URI-ja za stvaranje nejasnog formata URL-a ili pogrešnog URI-ja. Primjer za to može biti ‘https://test@google.com’, gdje ‘@’ funkcionira kao razdjelnik, zanemarujući ‘test’ i, zauzvrat, rješavajući google.com kada se posjećuje putem adresne trake preglednika. Također mora koristiti komponentu autoriteta ‘://’ za stvaranje pogrešnog URI-ja.
Ovo se pokazalo kao zanimljiv eksperiment za nas, gdje smo otkrili da se to može izvesti i s oktalnim, heksadecimalnim i decimalnim zapisima. Međutim, također smo utvrdili da su oktalne, heksadecimalne i decimalne/DWORD oznake većina aplikacija tretirane kao nevažeće veze.
Osim toga, također smo otkrili da napadač može maskirati zlonamjerni URL iza benignog URL-a. URL-ovi kao što su “https://192.168.0.1@google.com” i “https://youtube.com@google.com”, na primjer, rješavaju google.com.
Kamuflirani URL-ovi i zaštita od njih
Ovo može zvučati komplicirano, a unutarnje funkcioniranje toga može i biti tako. Ipak, ključna stvar je da korištenje nestandardnih IP notacija koje podržava browser i pogrešnog URI-ja djeluje kao kamuflaža, koju napadači mogu koristiti da zaobiđu engine za pregled sadržaja.
Doista, postoje tri ključne metode koje akteri prijetnji mogu iskoristiti kako bi to postigli:
Napravite vezu s oktalnim, heksadecimalnim ili decimalnim zapisom kako bi aplikacija tretirala vezu kao nevažeću.
Stvorite vezu s pogrešnim URI-jem (semantički napad) koristeći oktalne, heksadecimalne ili decimalne zapise.
Stvorite vezu s pogrešnim URI-jem (semantički napad) maskiranjem zlonamjernog URL-a benignim URL-om.
Ove metode nisu nove. Trustwave je naveo primjere takvih izbjegavanja URL-ova u septembru 2020., posebno ukazujući na upotrebu kodiranog heksadecimalnog formata IP adrese i semantički napad URL-a koji je maskirao skraćeni URL.
Međutim, sada vidimo kamuflirane URL-ove koji se koriste u dokumentima, koristeći ili decimalni zapis ili obmanjujuće URI-je (semantičke napade) s decimalnim zapisom.
Zanimljivo je da su dva dokumenta koja smo analizirali koristeći URL-ove decimalne notacije također sadržavala nekoliko “.” i znakova “-” kao kamuflažu. Međutim, ključno je napomenuti da će se ove tehnike otkriti automatski bez intervencije korisnika.
Doista, nakon otvaranja naoružanog dokumenta, kamuflirani URL se otkriva i preuzima template koji sadrži RTF exploit (CVE-2017-11882) za uklanjanje zlonamjernog softvera kao što su FormBook, Snake Keylogger i SmokeLoader.
Kao što smo prethodno istaknuli, jedan od najučinkovitijih načina zaštite od Template Injection napada – bili oni kamuflirani ili ne – je kroz tehnologiju izolacije.
Organizacije se više ne mogu oslanjati na tradicionalne sigurnosne alate za zaštitu od naprednih prijetnji koji su posebno izrađeni za zaobilaženje zastarjelih zaštitnih tehnologija. Uz izolaciju, svi se dokumenti otvaraju u u oblaku daleko od korisnikovog endpointa, sprječavajući bilo kakav aktivni ili zlonamjerni sadržaj da dođe do njega.
IZVOR: Infosecurity Magazine
