Windows en AV-software negeren malware in virtuele schijfbestanden

Cyber security Envicom todayseptember 6, 2019 6

Background
share close

Windows besturingssysteem en antivirussoftware behandelen schijf kopieën van VHD en VHDX-schijven als een zwarte doos. Het scannen van de bestanden in deze containers gebeurt niet totdat de afbeelding is gekoppeld en de bestanden zijn uitgevoerd.

VHD zijn een nieuwere versie, VHDX zijn schijfkopieën die verschijnen en zich gedragen als een fysiek station wanneer ze in Windows worden geopend.

Aanvallers kunnen malware in de schijfkopieën glijden en potentiële slachtoffers lokken om ze van een online locatie te krijgen, zodat hun de eerste verdediging in Windows te omzeilen.

Antivirus engines zijn ook misleid, omdat ze niet in deze containers controleren, ontdekte Will Dormann en kwetsbaarheid analist bij CERT / CC.

Online oorsprong niet gemarkeerd

Windows kent verschillende niveaus van vertrouwen toe aan bestanden, afhankelijk van hun oorsprong. Normaal gesproken is het waarschijnlijker dat gegevens die van een online locatie worden opgehaald schadelijk zijn en met meer voorzichtigheid worden behandeld.

Voor bestanden die afkomstig zijn van internet markeert Windows een gedownload bestand met een Mark Of The Web label (MOTW), zodat het weet dat het beperkte toegang tot machine bronnen moet verlenen. Gebruikers zien waarschuwingen over het potentiële risico van het uitvoeren van deze bestanden en zijn dikwijls vereist voor toestemming om ze uit te voeren.

MOTW wordt toegepast op alle bestanden die afkomstig zijn van een online locatie, inclusief de afzonderlijke onderwerpen in containers zoals archieven, op voorwaarde dat Explorer of een uitwisselbaar Zelfhulpmiddel wordt gebruikt.

Hetzelfde is echter niet van toepassing op VHD en VHDX-bestanden, die zich op dezelfde manier gedragen als een ZIP-archief. In die inhoud wordt getoond door gewoon op het bestand te dubbelklikken.

“Elk bestand in een VHD of VHDX-bestand ontvangt niet dezelfde bescherming die Windows biedt tegen bestanden die afkomstig zijn van internet.”

Om dit aan te tonen, nam Dormann een video op die liet zien hoe Windows verdediging geldt vanaf bij het starten van kwaadaardige bestanden in een ZIP en slapend ligt wanneer de container een VHD is.

Ook geen reactie van AV


Antivirussoftware maakt hetzelfde onderscheid. De onderzoeker voerde een test uit met een VHD met het EICAR standaard bestand voor het verkrijgen van een detectie reactie van antivirusproducten.

Geen van de scanen gines op het VirtusTotal platform markeerde de VHD-container als een potentieel risico.

In een bedrijf omgeving zegt Dormann dat de onmogelijkheid is om deze bestanden te scannen en een blinde vlek achterlaat totdat ze het eindpunt bereiken waar de scan bij toegang vanuit een beveiliging oplossing kan optreden.

“Als de inhoud van VHD en VHDX-bestanden niet wordt gescand door een mail, web gateway beveiliging producten hebben en deze producten geen hoop op detectie van malware in VHD of VHDX-bestanden.”

De resultaten zijn bijna hetzelfde bij het gebruik van een echte bedreiging. Veiligheid onderzoeker JTHL voerde hetzelfde experiment uit door een variant van Agent Tesla infoStealer in een VHD-container; de malware is bijna niet gedetecteerd.

Zelfs als ze niet de MOTW vlag dragen en met een dubbele klik kunnen worden geopend, werden IMG en ISO-afbeeldingen anders behandeld door antivirusoplossingen op VirusTotal.

Dormann voerde hetzelfde EICAR experiment uit met dit soort afbeeldingen en ontving een waarschuwing van meerdere beveiliging producten, maar toch was de detectiesnelheid nog steeds laag.


De onderzoeker heeft enkele aanbevelingen voor bedrijven die hun verdediging tegen aanval scenario’s willen verbeteren:

  • VHD-, VHDX-, ISO- en IMG-containers blokkeren bij mail gateways
  • Schakel bestandskoppeling uit voor deze extensies, zodat ze niet automatisch worden geopend bij dubbelklikken
  • Beperk VHD-, VHDX-, ISO- en IMG-bestanden op web gateways, rekening houdend met het wettelijke gebruik ervan

Written by: Envicom

Tagged as: .

Rate it
Previous post

Post comments (0)

Leave a reply

Your email address will not be published. Required fields are marked *