Više grupa pretnji je koristilo obrađivač protokola ms-appinstaller da zaobiđu zaštitu i isporuče ucenjivački i drugi zlonameran softver.
Autor: Lucian Constantin
Microsoft je onemogućio funkciju App Installer koja je dozvoljavala instaliranje aplikacija za Windows 10 direktno sa veb stranice klikom na vezu koja je koristila URI šemu ms-appinstaller. Ovu funkcionalnost su poslednjih meseci u velikoj meri zloupotrebljavali različiti akteri pretnji da bi primenili zlonameran softver i druga zlonamerna implantiranja.
„Učesnici pretnji su verovatno izabrali vektor rukovanja protokolom ms-appinstaller jer može da zaobiđe mehanizme dizajnirane da zaštite korisnike od zlonamernog softvera, kao što je Microsoft Defender SmartScreen i ugrađena upozorenja pretraživača za preuzimanje formata izvršnih fajlova“, navodi Microsoft u izveštaju krajem decembra.
Obrađivač protokola je onemogućen 28. decembra u izdanju App Installer verzije 1.21.3421.0 nakon što je kompanija prethodno upozorila na ranjivost Windows AppX Installer Spoofing (CVE-2021-43890) u poslednjem utorku zakrpe (Patch Tuesday).
Kako funkcioniše Microsoft App Installer?
App Installer je funkcija koja je u Windows 10 uvedena 2016. godine kako bi se olakšala instalacija aplikacija univerzalne Windows platforme (UWP – Universal Windows Platform ), ranije poznatih kao Windows Store aplikacije. Ove aplikacije se mogu primeniti na svim Windows uređajima i distribuiraju se u formatu paketa koji se zove MSIX kao .msxi ili .msixbundle fajlovi. MSIX je predstavljen 2019. godine i zamenio je stariji format pakovanja AppX za aplikacije u Microsoft Store-u.
Međutim, MSIX paketi ne moraju nužno da se postavljaju iz Microsoft Store-a, već se mogu instalirati i oflajn, a takođe se mogu primeniti sa bilo koje veb lokacije zahvaljujući URI šemi i obrađivaču protokola ms-appinstaller. Microsoft podstiče preduzeća da koriste MSIX pakete za primenu svojih aplikacija jer oni nude bolju pouzdanost i stopu uspešnosti instalacije, kao i optimizovanu propusnost i korišćenje prostora na disku.
„MSIX omogućava preduzećima da ostanu u toku i da osiguraju da su njihove aplikacije uvek ažurne. Omogućava IT profesionalcima i programerima da isporuče rešenje usredsređeno na korisnika, a da istovremeno smanjuju troškove posedovanja aplikacije smanjujući potrebu za prepakivanjem“, saopštila je kompanija.
Kada se primeni direktno sa veb lokacije, stranica će sadržati vezu u obliku:
ms-appinstaller:?source=http://link-to.domain/app-name.msix. Kada se klikne, pretraživač će proslediti zahtev obrađivaču protokola ms-appinstaller u Windows-u, koji će pozvati App Installer. Ovo je isti tip funkcionalnosti koji se može videti sa drugim aplikacijama koje registruju prilagođene obrađivače protokola u Windows, na primer kada kliknete na dugme na veb stranici da biste se pridružili konferencijskom pozivu pa pregledač automatski otvori desktop aplikaciju Zoom ili Microsoft Teams.
Opsežna zloupotreba programa Microsoft App Installer
Napadači su pre nekog vremena počeli da zloupotrebljavaju URI šemu ms-appinstaller tako što su korisnike naveli na lažne veb stranice za popularni softver i umesto toga isporučili zlonamerni softver upakovan kao MSIX. Prema Microsoft-u, ovu tehniku je usvojilo više grupa, što je kulminiralo usponom napada tokom novembra i decembra 2023.
Početkom decembra, grupa pristupnih brokera koju Microsoft prati kao Storm-0569 pokrenula je kampanju za optimizaciju pretraživača koja je distribuirala BATLOADER koristeći ovu tehniku. Grupa je zatrovala rezultate pretrage linkovima ka veb stranicama koje su se predstavljale kao zvanične veb stranice za legitimne softverske aplikacije kao što su Zoom, Tableau, TeamViewer i AnyDesk.
„Korisnicima koji traže legitimnu softversku aplikaciju na Bing-u ili Google-u može se prikazati odredišna stranica koja lažira odredišne stranice originalnog dobavljača softvera koje uključuju veze do zlonamernih instalatera preko protokola ms-appinstaller“, rekao je Microsoft. „Prevara i lažno predstavljanje popularnog legitimnog softvera je uobičajena taktika društvenog inženjeringa.“
Ako se klikne na lažne veze, korisnicima se prikazuje prozor App Installer, koji prikazuje dugme za instalaciju. Ako se klikne na to dugme, zlonamerni MSIX paket se instalira zajedno sa dodatnim PowerShell i paketnim skriptama koje primenjuju BATLOADER. Ovaj učitavač zlonamernog softvera se zatim koristi za postavljanje dodatnih implantata kao što su Cobalt Strike Beacon, Rclone alat za eksfiltraciju podataka i ucenjivački softver Black Basta.
Još jedan broker za pristup praćen kao Storm-1113 koji je takođe specijalizovan za distribuciju zlonamernog softvera putem reklama za pretragu takođe je koristio ovu tehniku sredinom novembra 2023. da primeni učitavač zlonamernog softvera pod nazivom EugenLoader tako što lažira preuzimanje Zoom-a. Pošto ova grupa nudi primenu zlonamernog softvera kao uslugu, EugenLoader je korišćen za primenu raznih implantata uključujući Gozi, Redline stealer, IcedID, Smoke Loader, NetSupport Manager (takođe poznat kao NetSupport RAT), Sectop RAT i Lumma stealer. Druga grupa praćena kao Sangria Tempest (takođe poznata kao FIN7) koristila je EugenLoader u novembru da ubaci svoj zloglasni okvir zlonamernog softvera Carbanak koji zatim postavlja implant Gracewire.
„U drugim slučajevima, Sangria Tempest koristi Google oglase da bi namamio korisnike da preuzmu zlonamerne MSIX pakete aplikacija – verovatno oslanjajući se na infrastrukturu Storm-1113 – što dovodi do isporuke POWERTRASH-a, veoma opskurne PowerShell skripte“, rekli su istraživači iz Microsofta.
Još jedna grupa koju je Microsoft pratio kao Storm-1674 koristila je infrastrukturu i usluge Storm-1113 koje su zloupotrebile zlonamerni obrađivač protokola ms-appinstaller da bi primenile SectopRAT ili DarkGate. Međutim, grupa je distribuirala veze do lažnih odredišnih stranica koristeći poruke na Teams-u. Odredišne stranice su lažirale Microsoftove usluge kao što su OneDrive i SharePoint i podsticale korisnike da preuzmu Adobe Acrobat Reader ili druge alate za pristup fajlovima koji su navodno tamo navedeni.
Svi lažni MSIX fajlovi koji se isporučuju preko takvih veb lokacija su digitalno potpisani kako bi se sprečila bezbednosna upozorenja. Podrazumevanim onemogućavanjem obrađivača protokola ms-appinstaller, Microsoft prisiljava da se takvi fajlovi sada najpre preuzmu na disk pre nego što se izvrše, što znači da proizvodi za bezbednost krajnjih tačaka imaju priliku da ih skeniraju i obeleže.
Iako ovo prekida instalaciju MSIX fajlova direktno sa veb lokacija, takvi fajlovi i dalje mogu da se preuzimaju i instaliraju oflajn, što ne bi trebalo da smeta kompanijama koje koriste ovaj format pakovanja aplikacija. Korisnici kojima je ta funkcija potrebna mogu ponovo da je omoguće tako da Group Policy EnableMSAppInstallerProtocol promene u Disabled.
Izvor: CSO