MSIX: новый вектор атаки в оболочке легитимного формата

MSIX представляет собой современный формат упаковки приложений для Windows, который сохраняет функциональность существующих пакетов приложений и устанавливаемых файлов. Ключевой особенностью формата является контейнеризированное выполнение: приложения, упакованные с использованием MSIX, запускаются внутри легковесного контейнера приложения, где они могут получать доступ только к тем ресурсам, которые им явно предоставлены. Технически пакет MSIX имеет ZIP-структуру, содержащую файлы приложения и конфигурационные XML-файлы, включая манифест пакета, блок карты для валидации и цифровую подпись.

Изначально разработанный для безопасного развертывания приложений, формат MSIX обладает мощными возможностями, которые при определенных условиях могут быть использованы злоумышленниками. Поддержка полного Win32, выполнение скриптов PowerShell через Package Support Framework, виртуализация реестра и файловой системы, доступ к системным API с возможностью runFullTrust - все эти функции делают MSIX идеальным сосудом для скрытых загрузчиков, механизмов персистенции и доставки вредоносного ПО.

По данным исследования, с конца 2022 года на криминальных форумах активно развивается модель Loader-as-a-Service, где киберпреступники предлагают упакованное в MSIX вредоносное ПО по подписке. За 1500 долларов в неделю или 4000 долларов в месяц злоумышленники могут приобрести MSIX-пакеты, обходящие традиционные средства контроля безопасности. Премиум-уровень за 1800 долларов в неделю предоставляет правильно подписанные пакеты, которые незаметно проходят защиту Windows Defender SmartScreen, с профессиональными панелями администратора для отслеживания кампаний заражения.

Основными методами распространения стали кампании вредоносной рекламы, где злоумышленники покупают легитимные рекламные места в поисковых системах. Пользователи, ищущие загрузки популярного программного обеспечения, сталкиваются с профессионально разработанными целевыми страницами, которые имитируют официальные сайты, но распространяют вредоносные пакеты MSIX вместо легитимного программного обеспечения. Социальные инженерные атаки эксплуатируют платформы для совместной работы, такие как Microsoft Teams, где злоумышленники рассылают поддельные уведомления об общем доступе к SharePoint и OneDrive.

Для противодействия этой угрозе исследовательская группа Splunk разработала MSIXBuilder - автоматизированное решение, позволяющее командам безопасности быстро создавать, тестировать и проверять покрытие обнаружения для атак на основе MSIX без риска. Инструмент преобразует традиционно сложный многопользовательский процесс в единый автоматизированный рабочий процесс, который отражает реальные методы атакующих. Автоматически обрабатывая управление жизненным циклом сертификатов, разрешение зависимостей и подписание пакетов, инструмент устраняет технические барьеры, которые ранее мешали командам безопасности создавать реалистичные тестовые сценарии.

Для обнаружения угроз MSIX необходимо настроить сбор соответствующих логов. Рекомендуемые источники журналов включают регистрацию блоков сценариев PowerShell, события AppXDeploymentServer/Operational, события AppXPackaging/Operational, аудит создания процессов и создание файлов в каталоге WindowsApps. Установка пакета MSIX в журналах AppXDeployment Server включает несколько этапов: получение запроса на развертывание, проверку пакета, извлечение и подготовку, инициирование установки, завершение установки, регистрацию пакета и финализацию развертывания.

Исследователи предлагают несколько конкретных аналитических запросов для обнаружения подозрительной активности. Аналитика установки неподписанных пакетов MSIX/AppX отслеживает попытки установки с использованием параметра -AllowUnsigned через EventID 603. Обнаружение взаимодействия с пакетами MSIX мониторит EventCode 171 в журналах Microsoft-Windows-AppXPackaging/Operational, которые генерируются при попытке пользователя открыть пакет MSIX. Аналитика успешной установки пакетов отслеживает EventID 854, указывающий на успешную установку пакета MSIX/AppX.

Особое внимание следует уделять обнаружению установки пакетов MSIX с подписью разработчика, которые не имеют подписей Microsoft Store. Все вредоносные пакеты MSIX, наблюдаемые в последних кампаниях угроз, включая операции FIN7, Zloader/Storm-0569 и FakeBat/Storm-1113, были подписаны разработчиком, а не Microsoft Store. Приложения Microsoft Store имеют определенные идентификаторы издателя, содержащие '8wekyb3d8bbwe' или 'cw5n1h2txyewy', в то время как пакеты с подписью разработчика не имеют этих идентификаторов.

Дополнительные методы обнаружения включают мониторинг выполнения компонентов Advanced Installer MSIX Package Support Framework, specifically AI_STUBS, которые являются характерными артефактами потенциально вредоносных пакетов MSIX, а также отслеживание выполнения сценариев PowerShell из каталога WindowsApps - распространенной техники, используемой при выполнении вредоносных пакетов MSIX.

Современный ландшафт угроз требует от специалистов по безопасности пересмотра отношения к формату MSIX. То, что изначально создавалось как безопасное решение для развертывания приложений, теперь активно используется злоумышленниками для обхода систем защиты. Комплексный подход к мониторингу, сочетающий анализ журналов событий, отслеживание подписей пакетов и мониторинг выполнения процессов, позволяет организациям своевременно обнаруживать и предотвращать атаки с использованием этого формата.

MD5

• 09b7d9976824237fc2c5bd461eab7a22
• 6ca002e77ed2c70dd265bea42b89d969
• f5244c0d5c537efb24c9103e866eea26

SHA256

• 001c68b2f71d1fcb9cea1bc42ed0b4c2b6d9fce4b4754d05d6a5a1f28573373a
• 06b4aebbc3cd62e0aadd1852102645f9a00cc7eea492c0939675efba7566a6de
• 11b71429869f29122236a44a292fde3f0269cde8eb76a52c89139f79f4b97e63
• 1d17937f2141570de62b437ff6bf09b1b58cfdb13ff02ed6592e077e2d368252
• 1e54b2e6558e2c92df73da65cd90b462dcafa1e6dcc311336b1543c68d3e82bc
• 2ba527fb8e31cb209df8d1890a63cda9cd4433aa0b841ed8b86fa801aff4ccbd
• 2ed5660c7b768b4c2a7899d00773af60cd4396f24a2f7d643ccc1bf74a403970
• 44cac5bf0bab56b0840bd1c7b95f9c7f5078ff417705eeaaf5ea5a2167a81dd5
• 48aa2393ef590bab4ff2fd1e7d95af36e5b6911348d7674347626c9aaafa255e
• 4d03c2a47265eab0c87006a4a2965fcf394fbdabb8e86cbe16b36376d04b8143
• 7e646dfe7b7f330cb21db07b94f611eb39f604fab36e347fb884f797ba462402
• b79633917e51da2a4401473d08719f493d61fd64a1b10fe482c12d984d791ccb
• de5f6cc6a3eaee870f438a43e1e262283124aa1cfa11ad395a05c4bff026c09f
• e300c44b45b07f3766586e500f4f3596c23ffd80171eaa5334bb4db3e8d027e0
• f015da1f2ada32f734b81aa282bea62840cd84afaa353ca52d5e2d0c82e705d1
• ffb45dc14ea908b21e01e87ec18725dff560c093884005c2b71277e2de354866