RenderShock: как фоновые операции открывают эру атак «нулевого клика»

«Часть функций современных операционных систем предполагают множество фоновых операций, которые формируют пассивную поверхность атаки. Часть функций работают так, что по умолчанию предварительный просмотр или индексация файла безопасны — именно этот принцип работы открывает бескрайнее пространство для атак без участия пользователя. Подобную модель атаки назвали RenderShock ("вызвать шок") и описывают как особенность поведения систем для скрытности, персистентности и расширения возможностей атак», — объясняет эксперт в области кибербезопасности, инженер-аналитик компании «Газинформсервис» Ирина Дмитриева.

RenderShock использует «тихий» подход для заражения устройств — задействование доверенных компонентов, которые в фоновом режиме анализируют вредоносные файлы. В список доверенных элементов системы входят обработчики предварительного просмотра документов, обработчики метаданных, клиенты синхронизации и индексаторы. Примерами принудительного запуска пассивных обработчиков может быть предпросмотр документа в Outlook или в проводнике. Такие обработчики могут эксплуатироваться для пассивного запуска вредоносных элементов из PDF-документа с внешней ссылкой или Word-файла с макросом. В то же время облачные и сетевые хранилища автоматически загружают и индексируют файлы, что может привести к запуску эксплойта.

Чтобы реализовать эту методику, вредоносные файлы проектируются так, что их нельзя запустить вручную; их исполнение срабатывает только автоматически, когда система сама пытается их проанализировать, просмотреть или проверить. Для доставки используются файлы, требующие минимального или нулевого взаимодействия пользователя — примитивы вроде PDF, DOCS или более изощрённые триггеры «нулевого клика» (шрифты TTF/WOFF, «полиглотные» PNG+HTML, файлы .CHM). Доставка происходит без активных действий жертвы: файлы размещаются в местах, где системы автоматически их обработают, — например, во вложениях писем в общие почтовые ящики или в общих сетевых папках, которые активно индексируются. Атака активируется в момент автоматического взаимодействия системы с файлом: когда проводник Windows генерирует превью, антивирус сканирует содержимое, почтовый клиент создаёт миниатюру вложения, служба индексирования извлекает метаданные или macOS Quick Look формирует эскиз. Как только система касается файла (курсор в проводнике, фоновая проверка, индексация), немедленно запускается встроенная вредоносная логика. Полезная нагрузка может выполнять разрушительные действия: красть хэши аутентификации NTLMv2 через поддельные UNC-пути, осуществлять DoS-атаки или, что опаснее всего, обеспечивать удалённое выполнение кода (RCE). Для защиты от обнаружения вредоносных действий используют TLS для закрепления связи с сервером, меняют домены маяков. После успешного взлома злоумышленники продвигаются по инфраструктуре, используя скомпрометированные учётные данные и уязвимости для поиска ценных данных или установки постоянного доступа.

RenderShock задействует легитимные системные процессы — explorer.exe, searchindexer.exe, — это позволяет ему не вызывать подозрений у антивирусных решений, фаерволов, EDR и иных средств анализа трафика.

«Для защиты от описанного класса атак рекомендуется тщательная проверка этапов автоматической обработки файлов. Но первостепенно требуется применение базовых мер защиты, таких как ограничение исходящего SMB-трафика (порт 445) в ненадёжные сети и мониторинг попыток аутентификации NTLM на внешние IP-адреса. Для продвинутого мониторинга рекомендуется проводить автоматическую пометку файлов со скрытыми макросами, настроить алертинг при попытках офисных приложений обращаться к внешним ресурсам при открытии или предпросмотре файлов, а также анализировать сетевое поведение процессов проводника (explorer.exe), индексации (searchfilterhost.exe) и предпросмотра на macOS (quicklookd). Для функций мониторинга и реагирования на инциденты, связанными с подобным классом угроз, можно обращаться в GSOC компании "Газинформсервис". Работа с подобными кейсами по плечу экспертам команды инцидент-респонса с сертификатами о квалификации CISSP, CISM, CEH, OSWE, OSCP», — отметила Дмитриева.