Το New Moonwalk++ PoC δείχνει πώς το κακόβουλο λογισμικό μπορεί να παραπλανήσει τις στοίβες κλήσεων των Windows και να αποφύγει κανόνες εμπνευσμένους από ελαστικότητα

Ένα εξελιγμένο proof-of-concept που δείχνει πώς το κακόβουλο λογισμικό μπορεί να παρακάμψει προηγμένους μηχανισμούς ανίχνευσης στοίβας κλήσεων που υιοθετούνται ολοένα και περισσότερο από προμηθευτές ασφάλειας επιχειρήσεων όπως το Elastic.

Η νέα τεχνική Moonwalk++ επεκτείνει την προηγούμενη έρευνα πλαστογράφησης στοίβας και αποκαλύπτει σημαντικά κενά στις τρέχουσες στρατηγικές ανίχνευσης τελικού σημείου.

The Evasion Challenge

Καθώς οι υπερασπιστές βασίζονται όλο και περισσότερο στην τηλεμετρία στοίβας κλήσεων για τον εντοπισμό κακόβουλης δραστηριότητας, οι εισβολείς αναπτύσσουν πιο προηγμένα αντίμετρα.

Εισάγει μεθόδους πλαστογράφησης στοίβων κλήσεων ενώ ταυτόχρονα κρυπτογραφείται κακόβουλο λογισμικό σε δυνατότητες μνήμης που προηγουμένως θεωρούνταν ανέφικτες.

Η Elastic Security Labs δημοσίευσε πρόσφατα τη λογική ανίχνευσης που έχει σχεδιαστεί για να αναγνωρίζει ανώμαλες στοίβες κλήσεων αναλύοντας μοτίβα εκτέλεσης, αναγνώριση καλούντος και χαρακτηριστικά μνήμης.

Το Moonwalk++ παρακάμπτει αυτές τις προστασίες μέσω πολλαπλών διανυσμάτων φοροδιαφυγής. Το PoC επιδεικνύει τρεις σημαντικές παρακάμψεις:

Παράκαμψη επικύρωσης εντολών κλήσης: Τα συστήματα ανίχνευσης ελέγχουν εάν οι οδηγίες που προηγούνται των διευθύνσεων επιστροφής είναι νόμιμες δηλώσεις ΚΛΗΣΗΣ.

Οι ερευνητές εντόπισαν gadget των Windows που περιέχουν φυσικά οδηγίες κλήσεων σε αναμενόμενες τοποθεσίες, επιτρέποντας στα πλαστά καρέ να φαίνονται νόμιμα.

Αποφυγή ανάλυσης ενότητας: Προηγούμενες υλοποιήσεις υπέθεταν ότι η ενότητα του τελικού καλούντος θα παρέμενε ανεπίλυτη. Το Moonwalk++ εισάγει κώδικα κελύφους σε νόμιμες διεργασίες όπως το OneDrive.exe, επιτρέποντας στα gadget να προέρχονται από τη βάση εικόνας της διαδικασίας στόχου και όχι από τις βιβλιοθήκες συστήματος.

Η έρευνα, με επικεφαλής τον ειδικό σε θέματα ασφάλειας Alessandro Magnosi (klezVirus), βασίζεται στη βασική τεχνική Stack Moonwalk που παρουσιάστηκε στο DEFCON 31.

Κρυπτογράφηση σε μνήμη: Η τεχνική χρησιμοποιεί προσαρμοσμένες αλυσίδες ROP για την κρυπτογράφηση και την τροποποίηση των προστασιών μνήμης των περιοχών του κελύφους μετά την ανάπτυξη

Μια νέα δομή στοίβας κρύβει αυτές τις ρουτίνες κρυπτογράφησης μέσα σε αόρατα πλαίσια στοίβας, διατηρώντας μια καθαρή στοίβα κλήσεων που δεν μπορεί να τυλιχτεί παρά τις συνεχείς λειτουργίες κρυπτογράφησης.

Αποτυχία ανίχνευσης

Οι δοκιμές με δημοφιλή εργαλεία ασφαλείας απέφεραν σχετικά αποτελέσματα. Τα Hunt-Sleeping-Beacons, Get-InjectedThreadEx, ακόμη και ο αλγόριθμος ανίχνευσης Eclipse απέτυχαν να προσδιορίσουν τη δραστηριότητα του Moonwalk++.

Ενώ το hollows_hunter μπορούσε να ανιχνεύσει κρυπτογραφημένα τεχνουργήματα μέσω ανάλυσης συσκότισης, οι τεχνικές επιθεώρησης στοίβας κλήσεων αποδείχθηκαν αναποτελεσματικές.

Η έρευνα υπογραμμίζει μια θεμελιώδη αδυναμία στην ανίχνευση βάσει στοίβας: βασίζεται σε υποθέσεις σχετικά με τα νόμιμα μοτίβα εκτέλεσης και τα χαρακτηριστικά μνήμης. Όταν αυτές οι υποθέσεις αποτυγχάνουν, οι μηχανισμοί ανίχνευσης παρακάμπτονται.

Ο πλήρης κώδικας είναι διαθέσιμος στο GitHub ως «Moonwalk–» (ενωτικά που χρησιμοποιούνται λόγω περιορισμών πλατφόρμας), μαζί με πλήρη τεχνική τεκμηρίωση.

Οι ερευνητές τονίζουν ότι αυτή η εργασία καταδεικνύει το βάθος των δυνατοτήτων αποφυγής στοίβας κλήσεων όταν οι τεχνικές είναι πλήρως βελτιστοποιημένες, αμφισβητώντας τις τρέχουσες υποθέσεις που διέπουν τις σύγχρονες στρατηγικές ανίχνευσης τελικού σημείου.