Devices, apps

En ondsindet app kan bringe en virksomhed ned

En ny download malware-kampagne rettet mod Windows bruger phishing og social engineering-taktik, der kan være svært for brugerne at få øje på.

Ny forskning fra Mimecast’s Threat Center har beskrevet en nylig malware kampagne leveret via såkaldt sideloading. Den er målrettet mod Microsofts App Installer-funktion i Microsoft Store, som giver brugerne mulighed for at installere Windows 10-apps fra en webside. En hacker kendt for at sprede Trickbot og BazarLoader, som leverer spam, der ofte resulterer i ransomware angreb, er ansvarlig.

Kampagnen er et godt eksempel på truslerne ved at sideloading-angreb – men hvad er de, hvordan fungerer de, hvilken skade kan de forårsage for en organisation, og hvordan kan de forhindres? Her er nogle ting, du behøver at vide om sideloading-angreb.

Hvad er et sideloading angreb?

“Sideloading er simpelthen installation af et program på en enhed, som en telefon eller computer,” fortæller CSO lederen af trusselforskningen på Netacea, Matthew Gracey McMinn. “Den vigtigste forskel mellem sideloading og en normal installation er, at i sideloading er ansøgningen ikke blevet godkendt af udvikleren af enhedens operativsystem.”

Alt en hacker skal gøre er at overbevise dig om, at du installerer et legitimt og troværdigt program. Sådanne programmer kan ikke have været sikkerhedstestet og kan være ondsindet karakter, så brugerne er udsat for trusler ved at installere dem, siger George Glass, leder af Threat Intelligens på Redscan. Mens de fleste enheder deaktiverer adgangen, indtil brugeren aktiverer det i en menu, tillader Windows 10 nu sideloading som standard.

“Typisk downloades applikationerne efter en form for Social Engineering-angreb via en phishing-e-mail eller pop-up-reklame. Brugere kan også downloade en ”gratis” eller ”krakket” version af et stykke software, som kan indeholde skadelig kode,” siger Glass.

Et eksempel på et sideloading-angreb der for nylig blev observeret, er WizardUpdate, som maskerer sig selv som et legitimt program som Adobe Flash Player. “Oprindeligt i ansøgningen var et rekognosceringsværktøj, der anvendes til at indsamle kun systemoplysninger og viderebringe dette tilbage til en kommando-og-kontrol (C2) server,” siger Glass. “Applikation har nu udviklet sig til at omfatte funktionaliteten på macOS gatekeeper beskyttelse, såsom adware og malware, og ændre systemindstillinger.”

Selvfølgelig har mange virksomheder legitime, skræddersyede applikationer, der er nødvendige for deres forretningsprocesser, der ikke kommer gennem officielle app-butikker, også sideloading er en nødvendig del af deres økosystem.

Virkningen af sideloading-angreb

Den potentielle skade, der kan forårsages af et sideloading-angreb, kan være betydelig for en organisation. “Sideloading applikationsangreb kan føre til, at organisationer bliver kompromitteret og ude af stand til at få adgang til data, medmindre en løsesum er betalt eller få deres fortrolige data eksfiltreret,” siger Glass. “Sideloaded applikationer udgør en risiko som e-mail-båret malware, undtagen den oprindelige infektion metode kan være underlagt færre sikkerhedskontroller end en e-mail kan have til at gå igennem for at nå et mål.”

Den malware, som hackere kan levere i et sideloading-angreb, kan variere fra enkle keyloggers eller ransomware til dem, der sletter data og gør en enhed ubrugelig. “Kloge cyberkriminelle forsøger at samle malware med noget nyttigt, såsom en gratis PDF til Word-dokumentkonverter,” siger Gracey McMinn. “Brugeren installerer det nyttige værktøj, lykkeligt uvidende om malware kører i baggrunden. Denne baggrund malware skaber en bagdør, som giver hackeren adgang til og kontrol af enheden.”

Nogle angribere holder sig til at skabe disse adgangspunkter til virksomheder og derefter sælge dem til andre aktører, mens nogle vil fortsætte med at lancere yderligere angreb selv. “Cyberkriminelle, der har en bagdør til netværket, kan bruge dette som udgangspunkt for yderligere at kompromittere flere,” siger Gracey McMinn. De vil flytte fra computer til computer, server til server omkring netværket, indtil de har nok adgang og kontrol til at starte et angreb af tilstrækkelig styrke mod deres mål.”

På denne måde kan en simpel ondsindet sideload app på en computer føre til kritiske servere og store dele af virksomheden, der lider et fuldskala ransomware-angreb, lammer virksomheden og forhindrer den i at udføre kerneforretningsfunktioner. “Problemet med denne type angreb er, at der virkelig ikke er nogen grænse for den type malware en hacker kan installere,” siger Topher Tebow analytiker i cybersikkerhed hos Acronis.

Sådan forhindrer du sideloading-angreb

Mens omkostningerne ved at miste adgangen til kritiske tjenester, databaser, digitale processer og evnen til at bruge it-aktiver er nok til at give enhver sikkerhedsleder søvnløse nætter. CISOs kan tage skridt til at hjælpe med at forhindre sideloading angreb. Eksperter er enige om, at sådanne skal kombinere tekniske kontroller med brugerbevidsthed.

“Tekniske kontroller kan begrænse brugernes mulighed for at installere programmer, men disse er ikke altid praktiske til virksomhedens behov. Det er her, bevidsthedstræning kommer ind i billedet,” siger Gracey McMinn.

“Overvej at begrænse brugerrettigheder via [Windows] Gruppepolitik for at forhindre ikke-systemadministratorer i at downloade og installere potentielt uønskede programmer på virksomhedens enheder,” råder Glass. “Sørg for, at software kun downloades og installeres direkte fra leverandørens websted eller app store i stedet for tredjepartswebsteder ved at anvende program allow listing til et sæt godkendte applikationer.”

E-mails bør scannes for at forhindre skadeligt indhold i at nå ofre og en fuld cyber beskyttelse suite bør bruges til at opdage og blokere ransomware og anden malware og overvåge strømmen af data ind og ud af netværket, med en gennemprøvet og beskyttet backup løsning til at gendanne data i tilfælde af det går tabt, tilføjer Tebow. “En Zero Trust tilgang bør også være på plads,” siger han. “Dette kan forhindre brugerne i at kunne installere software fra uautoriserede placeringer og begrænser hver brugers adgang til ressourcer på tværs af netværket til kun det, der er nødvendigt for deres job.”

Da de fleste sideloading-angreb er afhængige af Social Engineering, er det vigtigt at træne brugerne på de anvendte tricks, så de ved, hvordan man får øje på dem. “Brugere er så langt mindre tilbøjelige til at sideload ondsindede programmer,” siger Gracey McMinn. “Desuden forsøger brugerne ofte at sideload apps, når de ikke kan finde et program til at gøre noget, de skal gøre. Jeg vil anbefale, at CISOs sørger for, at alle medarbejdere i deres organisation er klar over, at de kan anmode om ansøgninger, som de ikke allerede har, så applikationer, der vides at være sikre, kan leveres til dem.

Kilde: CSO