Вредоносное ПО тоже применяет SRP

Интересная заметка попалась на глаза: «Банковский троян использует групповые политики для блокировки антивирусных программ». Примерно накидаю перевод:

«Вредоносное ПО, в настоящий момент распространяющееся в Японии, использует встроенные механизмы Windows, чтобы заблокировать работу защитного программного обеспечения поражённых машин. Trend Micro сообщает, что крадущий реквизиты онлайн-доступа к некоторым японским банкам шпионский модуль BKDR_VAWTRAK использует компонент Windows под названием Политики Ограничения Программ (Software Restriction Policies, SRP), чтобы заблокировать на заражённых системах запуск широкого ряда защитных программ, в том числе антивирусы Microsoft, Symantec, Intel — всего 53 различных программы.

SRP нацелены в первую очередь на то, чтобы системные администраторы могли контролировать программное обеспечение, запускаемое на корпоративных компьютерах. Конфигурируя SRP средствами групповой политики, администраторы могут составлять «белые» и «чёрные списки» приложений. Приложения могут идентифицироваться различными путями: по цифровому оттиску (хэшу), цифровой подписи, источнику скачивания или просто по пути на локальном диске.

BKDR_VAWTRAK использует последний из перечисленных методов — пути, чтобы заблокировать запуск защитных программ.

Результат забавный сам по себе. Политики SRP предназначены для улучшения безопасности системы с помощью блокировки нежелательных программ. Вместо этого, они эксплуатируются для снижения уровня безопасности путём блокировки жизненно важного ПО.

В то время как Trend Micro заявляет, что BKDR_VAWTRAK — далеко не первый троян, что использует подобную технику для предотвращения своего обнаружения и ликвидации, его значимость велика, поскольку в Японии ему удалось распространиться достаточно широко.»

Оригинал статьи: http://arstechnica.com/security/2014/06/banking-malware-using-windows-itself-to-block-anti-malware-apps/

Оригинал сообщения Trend Micro: http://blog.trendmicro.com/trendlabs-security-intelligence/windows-security-feature-abused-blocks-security-software/

————

Не первый случай использования троянами групповых политик. Например, я сталкивался с троянами, которые политиками включали Remote Desktop без обязательного Network Level Authentication (NLA).

Разумеется, встроенный в Windows защитный функционал достаточно интересен, чтобы авторы вирусов сфокусировали на нём своё внимание. С другой стороны, хотелось бы отметить, что только администраторы обладают достаточными привилегиями для конфигурации Group Policy. Чтобы вредоносное ПО могло обратить политики себе в помощь, требуется, чтобы оно было запущено от лица Администратора или Системы (NT Authority\SYSTEM). Ну а дальше сами знаете: если злоумышленник сумел исполнить на вашем компьютере свой код с привилегиями администратора (я в курсе, что в оригинале насчёт привилегий не сказано) — это больше не ваш компьютер.

Пока могу лишь добавить, что всё больше компаний выражают интерес и применяют Software Restriction Policies или AppLocker для защиты от вредоносного ПО. Более того, упоминание о SRP наконец-таки появилось даже в нормативах Комиссии рынка финансов и капитала (FKTK) — http://likumi.lv/doc.php?id=265318, пункт 53.2 (информация на латышском языке).