Opasnosti montiranih virtualnih tvrdih diskova i porast kibernetičkih prijetnji
Montirani virtualni tvrdi diskovi, obično u .vhd i .vhdx formatima, omogućuju korisnicima stvaranje virtualnih volumena koji funkcioniraju poput fizičkih diskova unutar Windows okruženja. Dok ove datoteke imaju legitimne svrhe u razvoju softvera i virtualnim strojevima, stručnjaci upozoravaju da su ih kibernetički kriminalci sve više počeli koristiti za isporuku zlonamjernog softvera.
Zlonamjerna upotreba virtualnih tvrdih diskova
Nedavna istraživanja tvrtke Cofense Intelligence pokazala su da se alati poput .vhdx datoteka koriste kako bi zaobišli mehanizme detekcije, poput sigurnosnih email gateway-ova (SEG) i antivirusnih rješenja, s ciljem postavljanja trojanskih programa za daljinski pristup (RAT). Ova vrsta zloupotrebe iznimno je teška za otkrivanje, čak i uz sofisticirane alate za skeniranje koje koriste SEG-ovi i antivirusna rješenja, jer zlonamjerni softver ostaje skriven unutar montiranih datoteka.
Tematske phishing kampanje
Najnovije kampanje usmjerene su na phishing napade koji se temelje na temama životopisa i ciljaju španjolsko govorno područje. Emailovi su sadržavali .vhdx datoteke koje, kada se otvore, izvršavaju Visual Basic Script za učitavanje Remcos RAT-a u memoriju. Ova kampanja posebno je uključivala autorun.inf datoteke koje su se koristile za iskorištavanje starijih verzija Windowsa koje još uvijek podržavaju AutoRun funkcije, jasno pokazujući namjeru napadača da iskoriste širok spektar potencijalnih žrtava s različitim postavkama sustava.
Rizici AutoRun funkcije
AutoRun, značajka starijih verzija Windowsa, omogućuje automatsko pokretanje datoteke kada se volumen montira. Napadači su često iskorištavali ovu značajku za pokretanje zlonamjernih programa bez intervencije korisnika u sustavima gdje je AutoRun omogućen. Iako Windows Vista i novije verzije smanjuju ove rizike onemogućavanjem automatskog izvršavanja, korisnici s zastarjelim sustavima i dalje su ranjivi na tiho izvršavanje zlonamjernog softvera.
Zaobilaženje sigurnosnih mjera
Čak i bez AutoRun funkcije, napadači mogu koristiti AutoPlay kako bi potaknuli žrtve na ručno pokretanje zlonamjernog programa, koristeći ljudski faktor kako bi zaobišli sigurnosne mjere. Osim toga, napadači su mogli zaobići razne SEG sustave ugrađujući zlonamjerni sadržaj unutar virtualnih tvrdih diskova unutar arhivskih privitaka, čime su izbjegli detekcijske sustave vodećih sigurnosnih proizvođača poput Cisco i Proofpoint.
Manipulacija datotekama radi prikrivanja
Prijetnje dalje kompliciraju detekciju manipulacijom hash vrijednosti unutar virtualnih tvrdih diskova. Dodavanjem nepotrebnih podataka ili izmjenom dodijeljenog prostora za pohranu, napadači mogu stvarati datoteke koje se na skeniranju čine različitima, ali i dalje isporučuju isti zlonamjerni sadržaj.
Zaključak
Montirani virtualni tvrdi diskovi predstavljaju značajnu prijetnju u kibernetičkom prostoru, a njihova zloupotreba od strane napadača pokazuje kako je važno ažurirati sigurnosne mjere i koristiti ažurirane verzije operativnih sustava. Korisnici bi trebali biti svjesni potencijalnih rizika i poduzeti proaktivne korake za zaštitu svojih sustava od zlonamjernih datoteka.
