Угроза из прошлого: злоумышленники используют устаревший протокол WebDAV в проводнике Windows для скрытой доставки вредоносного ПО

Суть проблемы заключается в том, что WebDAV, некогда популярный протокол для удалённого хранения и управления файлами, сегодня является наследием прошлого и почти не используется рядовыми пользователями. Однако поддержка этого протокола в проводнике Windows оставалась до недавнего времени, и, что критически важно, возможность доступа к сетевым ресурсам через интернет с его помощью для многих остаётся неизвестной. Это создаёт идеальные условия для социальной инженерии: пользователь, получив специально сформированную ссылку, может неосознанно открыть в проводнике папку, которая на самом деле расположена на удалённом сервере злоумышленника. Файлы в ней выглядят как локальные, что снижает уровень подозрений по сравнению с классической загрузкой файла из браузера. Более того, поскольку процесс инициируется через проводник, он обходит средства защиты веб-браузеров, а также может ускользнуть от внимания некоторых систем класса EDR из-за редкости подобного вектора атаки.

Атакующие используют несколько технических приёмов для запуска WebDAV-соединения. Наиболее распространёнными являются ярлыки двух типов: URL-ярлыки (.url) и LNK-файлы. URL-ярлык может содержать ссылку с префиксом "file://", которая при открытии заставляет проводник подключиться к указанному WebDAV-серверу. LNK-файлы же более функциональны и могут напрямую запускать исполнение скриптов, размещённых на вредоносном сервере, с помощью командной строки или PowerShell. Интересная особенность URL-ярлыков с путём в формате UNC (Universal Naming Convention, универсальное соглашение об именовании, используемое Windows для сетевых ресурсов) заключается в их способности автоматически инициировать DNS-запросы, просто находясь в папке, которую просматривает пользователь в проводнике. Это может служить для злоумышленников сигналом о том, что вредоносная нагрузка активирована на компьютере жертвы.

Анализ кампаний показывает, что в 87% случаев финальной нагрузкой являются программы-шпионы класса RAT (троян удалённого доступа), причём часто в цепочке доставки используется несколько различных RAT одновременно. Среди наиболее популярных - XWorm RAT, Async RAT и DcRAT. Цепочка выполнения обычно сложна и включает множество различных скриптовых файлов, что затрудняет анализ. Географическая и языковая направленность кампаний очевидна: половина всех зафиксированных операций использует письма на немецком языке, часто маскирующиеся под финансовые документы или счета. Ещё 30% кампаний проводятся на английском, остальные - на итальянском и испанском языках, что указывает на фокус на европейский корпоративный сектор.

Особое внимание исследователей привлекла инфраструктура, используемая злоумышленниками. Все обнаруженные серверы WebDAV размещены на бесплатных демо-инстансах сервиса Cloudflare Tunnel. Этот сервис предназначен для безопасного вывода внутренних сетевых сервисов в интернет через инфраструктуру Cloudflare. Злоумышленники создают кратковременные WebDAV-серверы с вредоносными файлами и с помощью демо-аккаунтов делают их доступными извне. Это даёт им сразу несколько преимуществ: трафик жертв проходит через легитимные серверы Cloudflare, маскируя злонамеренную активность, а краткий жизненный цикл демо-инстансов позволяет быстро сворачивать инфраструктуру после проведения атаки, затрудняя расследование.

Несмотря на то что Microsoft объявила об устаревании клиента WebDAV в Windows в ноябре 2023 года, его эксплуатация остаётся актуальной угрозой, так как многие системы ещё не обновлены или имеют обратную совместимость. Более того, описанная тактика демонстрирует общий принцип, который может быть применён и к другим сетевым протоколам, таким как FTP или SMB/CIFS, часто используемым в корпоративных сетях для легитимных задач. Это делает подобные векторы атак особенно коварными.

В качестве рекомендаций по защите специалистам по информационной безопасности следует рассмотреть несколько мер. Во-первых, критически важно повышать осведомлённость пользователей о возможности доступа к интернет-ресурсам через проводник и связанных с этим рисках. Во-вторых, настройки групповых политик Windows позволяют ограничить возможность подключения к WebDAV-серверам или как минимум усилить предупреждения при открытии файлов из ненадёжных сетевых расположений. В-третьих, мониторинг сетевой активности должен включать поиск аномальных подключений к доменам "trycloudflare.com" или использование нестандартных портов для протокола HTTP/HTTPS в контексте файловых операций. Наконец, применение комплексных решений безопасности, способных анализировать поведение процессов и цепочки выполнения, а не только сигнатуры файлов, поможет выявить подобные сложные многоэтапные атаки даже при использовании ими легитимных сервисов и устаревших функций операционной системы.

IPv4

• 104.16.231.132

Domains

• discounted-pressed-lc-vcr.trycloudflare.com
• lose-croatia-acdbentity-lt.trycloudflare.com
• nasdaq-aged-sf-cheers.trycloudflare.com
• publicity-jenny-paintball-gilbert.trycloudflare.com
• skills-statute-alberta-demand.trycloudflare.com
• tiny-fixtures-glossary-advantage.trycloudflare.com
• whats-menu-familiar-zshops.trycloudflare.com

URLs

• https://frontier-shops-timothy-cal.trycloudflare.com/rec.wsh

Malicious LNK

• \\earl-dont-princess-bit.trycloudflare.com@SSL\DavWWWRoot\dat.wsh
• \\exampledomain.com@443\DavWWWRoot\My_Files
• \\exampledomain.com@SSL\DavWWWRoot\My_Files
• \\exampledomain.com\DavWWWRoot\My_Files
• \\harbor-microwave-called-teams.trycloudflare.com\\new