DoubleAgent attack: impact en detectie

DoubleAgent attack: impact en detectie

DearBytesAlertsDoubleAgent attack: impact en detectie

Wat is er aan de hand?

Op dinsdag 21 maart werd bekend dat medewerkers van Cybellum een manier hebben gevonden om anti-virus software te omzeilen. De aanval hebben zij ‘DoubleAgent’ genoemd.

Onder andere de software van McAfee werd gemeld als zijnde kwetsbaar. Het bericht werd overgenomen door NU.nl naar aanleiding waarvan wij diverse vragen ontvingen van onze klanten:

http://www.nu.nl/internet/4560087/malware-misbruikt-antivirussoftware-computer-vallen.html

Waarom is dit belangrijk?

Door de aanval uit te voeren kan een kwaadwillende, nadat hij beheerrechten heeft verkregen, zich voor langere tijd onopgemerkt op een computersysteem nestelen. En het gebruiken om bijvoorbeeld gevoelige data te stelen of andere aanvallen uit te voeren.

De aanvallers maken gebruik van standaard en legitieme functionaliteit van Microsoft Windows genaamd ‘Microsoft Application Verifier’. Dit dient voor het ‘debuggen’ van problemen in applicaties en is aanwezig in alle versies van Windows. Door deze functie kan ingesteld worden dat een proces een ander proces inlaadt bij het opstarten. Dat tweede proces kan een kwaadaardige DLL waardoor de aanval geslaagd is.

Op wie is dit van toepassing?

De onderzoekers stellen dat McAfee software kwetsbaar is. Daarbij wordt niet aangemerkt om welke producten het gaat. Vermoedelijk is getest met de consumer versies van McAfee software. Een formele reactie van McAfee is nog niet beschikbaar, dus wij kunnen nog niet met zekerheid zeggen welke softwareversies precies kwetsbaar zijn en welke niet.

Leden van onze Offensive Security en Managed Services teams hebben samengewerkt om de aanvalsmethodiek te reproduceren en valideren. Daarin hebben zij vastgesteld dat sommige onderdelen van zowel delen van VirusScan Enterprise (VSE) 8.8 als Endpoint Security (ENS) 10.x kwetsbaar zijn.

Onze onderzoekers hechten eraan te benadrukken dat het in feite niet uitmaakt welk proces door de aanval wordt geïnfiltreerd, dus dat het wijs is in het oplossen van deze kwetsbaarheid niet alleen te focussen op McAfee of andere anti-virus software.

Onze experts hebben een relatief eenvoudige mitigerende maatregel uitgewerkt om dit misbruik voor alle processen op uw systeem te herkennen en/of blokkeren met behulp van McAfee ENS 10.

Wat kunt u doen?

Totdat een patch of andere fix vanuit McAfee (en eventuele andere kwetsbare software) beschikbaar is, adviseren wij om de volgende mitigerende maatregel te treffen.

  1. Maak een custom access protection regel in ENS of VSE.
  2. Monitor / Block daarin alle processen die de operations Create,Write en eventueel Read uit willen voeren op de volgende value (niet key!) in het register:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options*VerifierDlls



Wanneer men nu een verifierdlls value aan wilt maken dan lukt dit niet (al dan niet met een verkeerde error code):


Het aanmaken van andere values en keys in het register wordt met deze regel niet beperkt.

Vervolgens verschijnt na een detectie een melding het Access Protection log:

3/22/2017 6:04:03 PM   mfeesp(2892.8460) <SYSTEM> ApBl.AP.Activity: DESKTOP-50JRHRLTEMPLATE ran REGEDIT.EXE, which tried to access HKLMSOFTWAREMICROSOFTWINDOWS NTCURRENTVERSIONIMAGE FILE EXECUTION OPTIONSNEW KEY #1VERIFIERDLLS, violating the rule “Block verifierdlls”, and was blocked.

For information about how to respond to this event, see KB85494.

3/22/2017 6:05:17 PM   mfeesp(2892.8460) <SYSTEM> ApBl.AP.Activity: DESKTOP-50JRHRLTEMPLATE ran REGEDIT.EXE, which tried to access HKLMSOFTWAREMICROSOFTWINDOWS NTCURRENTVERSIONIMAGE FILE EXECUTION OPTIONSMMC.EXE, violating the rule “Block verifierdlls”, and was blocked.

For information about how to respond to this event, see KB85494.


Getriggerde events naar aanleiding van deze regel kunnen gebruikt worden om in ePolicy Orchestrator via een Automatic Response een email te sturen aan een beheerder om de PC in kwestie te onderzoeken. De computer in kwestie is dan vermoedelijk reeds onder controle van een aanvaller en zou zo snel mogelijk in afzondering geplaatst moeten worden.

Wat doet DearBytes?

Voor klanten waar DearBytes het beheer uitvoert van ePolicy Orchestrator zullen wij de access protection regel in monitoring mode implementeren en koppelen aan ons 24/7 SOC en een bevestiging sturen wanneer deze actief is.

In dit zelfde bericht geven we de klanten de keus om de regel eventueel om te zetten naar een blocking regel.

Organisaties die geen managed services bij DearBytes afnemen maar wel onze hulp wensen in te schakelen kunnen contact opnemen met de accountmanager.


Credits

Met dank aan Rik van Duijn en Martijn Dortmans voor hun onderzoek.