Блок виклику WMI через OLE/Macros

“Нет на свете ничего такого, чего нельзя было бы исправить.”

Брати Стругацькі, “Пикник на обочине”

На мою думку, серед методів доставки malware, зараз основну і найбільшу небезпеку становлять … документи.
Погодьтеся, що і скрипти і примітивні SCR(EXE) можна заблокувати (майже) без суттєвих наслідків для бізнесу.
А от із документами біда.

Сьогодні я покажу вам як захиститися від документів, що викликають WMI.
Вперше такий спосіб доставки мені трапився 15/05/19 при аналізі #emotet.

Отже з чим ми маємо справу (свіжий документ за 27/09/19, знов #emotet):

В чому небезпека виклику WMI?

Стандартно запуск ланки інфікування такий:
winword/excel > macro > (cmd) > wscript/powershell
В даному випадку для захисту достатньо заборонити додаткам MS Office запускати дочірні процеси.

Ланка інфікування з WMI:
winword/execel > macro || (інший контекст) wmiprvse.exe > powershell > …
В цьому випадку заборона дочірніх процесів не спрацює.

Схожа схема із вразливістю редактору формул (11882). Але, якщо у випадку із 11882 нам достатньо просто заблокувати запуск eqnedt32.exe, то заборонити запуск сервісів WMI у корпоративному середовищі – не вихід.

Що ми можемо зробити, маючи на руках базовий ENS Threat Prevention без моїх User-defined правил AP?

Три простих, вбудованих(!) механізми, які по замовчуванню не активні:

1. EP – Enable Windows Data Execution Prevention
2. EP – сигнатура 6131 “Weaponized OLE object infection via WMI”
3. EP – сигнатура 6087 “Powershell Command Restriction – EncodedCommand”

Давайте перевіримо результат:

Активуємо EP – Enable Windows Data Execution Prevention і відкриваємо документ:

При спробі запустити макрос процес winword зупиняється з помилкою. Інфікування не пройшло:

Активуємо EP – 6131 “Weaponized OLE object infection via WMI” (DEP деактивовано для демонстрації) і відкриваємо документ:

Макрос відпрацьовує, але як тільки доходить до виклику WMI – він блокується. Інфікування не пройшло:

Активуємо EP – 6087 “Powershell Command Restriction – EncodedCommand” (DEP та 6131 деактивовано для демонстрації) і відкриваємо документ:

Макрос відпрацьовує, виклик WMI проходить, але виконання base64 на PowerShell блокується. Інфікування не пройшло:

Все. Результат досягнуто.

Ми не вимикали макроси повністю. Ми не блокували запуск WMI чи PowerShell повністю.

Ми просто активували три механізми захисту від нетипових макросів, WMI та PowerShell.

Сподіваюсь даний “рецепт” стане у нагоді та вбереже читачів від інцидентів із malware.

Будьте уважні та обережні.

VR

Tags: , , , , , , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: