Исследователи из компании Praetorian обнаружили новый инструмент для обеспечения скрытого постоянного доступа к системам под управлением Windows, который обходит современные средства защиты. Инструмент, получивший название Swarmer, использует устаревший функционал операционной системы для манипуляций с файлами реестра, избегая прямого вызова API. Этот подход делает его невидимым для большинства систем обнаружения и реагирования на конечных точках (EDR).
Традиционные методы внедрения вредоносного кода через автозагрузку реестра Windows, например, через ключи вроде "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run", сегодня легко обнаруживаются. Современные EDR-решения активно отслеживают вызовы стандартных функций реестра, таких как "RegCreateKey" или "RegSetValue". Следовательно, любая попытка напрямую изменить реестр для обеспечения постоянного присутствия почти наверняка вызовет тревогу. Swarmer решает эту проблему, полностью избегая взаимодействия с API реестра на целевой системе в момент внедрения.
Ключевым вектором атаки стал механизм обязательных профилей пользователей (Mandatory User Profiles). Это устаревшая корпоративная функция Windows, позволяющая администраторам применять стандартные настройки для всех пользователей через специальные файлы "NTUSER.MAN". При входе в систему такой файл автоматически переопределяет обычный файл куста реестра текущего пользователя ("NTUSER.DAT"). Важно, что обычный пользователь без прав администратора может поместить свой собственный файл "NTUSER.MAN" в директорию своего профиля, и система применит его.
Именно эту возможность и эксплуатирует Swarmer. Его основная инновация заключается в использовании офлайн-библиотеки для работы с реестром "Offreg.dll". Этот легальный компонент Windows, предназначенный для установки, резервного копирования и криминалистического анализа, позволяет создавать и редактировать бинарные файлы реестра (так называемые "кусты") напрямую, без их загрузки в систему. Библиотека предоставляет функции вроде "ORCreateHive", "ORSetValue" и "ORSaveHive". Поскольку все операции происходят офлайн на машине оператора, инструменты мониторинга на целевой системе, такие как Process Monitor или трассировка событий Windows (ETW), не фиксируют никакой подозрительной активности, связанной с реестром.
Рабочий процесс Swarmer состоит из трёх этапов. Сначала экспортируется куст реестра "HKCU" целевого пользователя. Это можно сделать стандартными командами или с помощью скрипта "reg_query" от TrustedSec, который интегрируется с фреймворком Cobalt Strike (BOF). Затем в экспортированные данные вносится изменение, добавляющее запись для автозагрузки вредоносного исполняемого файла (payload). Наконец, Swarmer конвертирует модифицированный текстовый файл ".reg" в бинарный файл "NTUSER.MAN". Этот файл затем размещается в профиле пользователя на атакуемой системе. При следующем входе пользователя в систему Windows автоматически загрузит подменённый куст реестра, что приведёт к выполнению злонамеренного кода.
Для защитников специалисты Praetorian предлагают несколько рекомендаций:
- Необходимо отслеживать появление файлов "NTUSER.MAN" в пользовательских профилях, особенно если в организации не используется централизованное управление обязательными профилями.
- Следует обращать внимание на загрузку библиотеки "Offreg.dll" процессами, которые обычно не работают с реестром в офлайн-режиме, например, обычными пользовательскими приложениями. Однако важно отметить, что после успешного внедрения и запуска вредоносный процесс будет виден стандартным средствам мониторинга процессов.
Поэтому комплексный подход к безопасности остаётся критически важным.
Появление инструмента Swarmer наглядно демонстрирует, как злоумышленники продолжают находить и использовать устаревшие или нишевые функции операционных систем для обхода современных систем защиты. Этот случай подчёркивает необходимость для администраторов проводить инвентаризацию подобных механизмов, таких как обязательные профили, и применять строгий контроль доступа к каталогам профилей пользователей.
