Одним из наиболее интересных докладов наших исследователей на конференции Kaspersky Security Analyst Summit (SAS) в этом году стал отчет о Slingshot — крайне изощренной шпионской кампании.
Вектор атаки
Начальный вектор атаки был необычен тем, что многих жертв преступники атаковали через скомпрометированные роутеры фирмы MikroTik. Программа для управления этими роутерами в ходе эксплуатации загружает и исполняет несколько DLL-файлов. Киберпреступники нашли способ скомпрометировать устройства, добавив свой вредоносный DLL. А он подгружал целый букет вредоносных файлов, которые также хранились в роутере.
Сразу хотим отметить, что мы известили производителя роутеров о проблеме, и специалисты MikroTik уже ее устранили. Но наши эксперты считают, что организаторы кампании Slingshot воспользовались не только роутерами MikroTik — не исключено, что есть и другие скомпрометированные устройства.
Еще один интересный аспект Slingshot — оригинальный способ, которым злоумышленники добились запуска зловреда в режиме ядра. Казалось бы, в современных операционных системах, обновленных до актуальных версий, такой сценарий практически невозможен. Однако данная вредоносная программа ищет на компьютере подписанные драйверы с уязвимостями и выполняет свой код через них.
Вредоносный инструментарий
В кампании Slingshot применялись два шедевра кибершпионских технологий: модули Cahnadr и GollumApp.
Cahnadr, работающий в режиме ядра, дает злоумышленнику полный контроль над зараженным компьютером без каких-либо ограничений. Более того, в отличие от большинства зловредов, пытающихся запуститься в режиме ядра, он успешно справляется со своими задачами, не выпадая в синий экран. Второй модуль, GollumApp, отличается еще более широкими возможностями. Он насчитывает примерно 1500 уникальных функций.
С этими модулями Slingshot может собирать скриншоты, данные о нажатиях клавиш и любых действиях на рабочем столе, сетевой трафик, пароли, содержимое буфера обмена и многое другое. И все это без использования каких-либо уязвимостей нулевого дня.
Борьба с обнаружением
Реальная опасность кампании Slingshot заключается в том, что она применяет множество хитрых приемов для того, чтобы избежать обнаружения. Зловред может отключать свои компоненты, заметив признаки криминалистического анализа. Более того, Slingshot работает с собственной зашифрованной файловой системой в незанятой части жесткого диска. Больше подробностей о Slingshot читайте на портале Securelist.
Как противостоять APT-угрозам уровня Slingshot
Если вы владелец роутера MikroTik и пользуетесь управляющим ПО WinBox, установите последнюю версию программы и убедитесь, что внутренняя ОС роутера обновлена до актуальной версии. Однако имейте в виду, что обновления закрывают лишь один вектор атаки и не являются панацеей против самой APT-угрозы.
Только стратегический подход сможет защитить вашу компанию от сложных целевых атак. В качестве единого комплексного решения мы предлагаем платформу Threat Management and Defense, которая включает систему защиты от целевых атак Kaspersky Anti Targeted Attack, решение Kaspersky Endpoint Detection and Response, а также услуги наших специалистов.
Kaspersky Anti Targeted Attack находит аномалии в сетевом трафике, изолирует подозрительные процессы и прослеживает связи между событиями. Kaspersky Endpoint Detection and Response отвечает за сбор и визуальное представление собранных данных. А наши эксперты могут обучить персонал вашего центра мониторинга, повысить общую осведомленность сотрудников и в любое время помочь разобраться с особо сложными инцидентами. Подробнее об этом решении читайте здесь.