Sió-Informatika Rendszerház

HÍREK

⚠️ Figyelmeztetés: támadók Windows képernyővédő fájlokat használnak a védelmek megkerülésére és távoli vezérlőeszközök telepítésére

Támadók Windows képernyővédő fájlokat használnak a védelmek megkerülésére

A kiberbűnözők egyre gyakrabban nyúlnak figyelmen kívül hagyott Windows fájltípusokhoz, hogy kijátsszák a biztonsági védelmeket.

Egy frissen megfigyelt kampány pedig jól mutatja, hogyan válhat egy látszólag ártalmatlan képernyővédő hatékony malware-terjesztési eszközzé.

A ReliaQuest új kutatása szerint a támadók Windows képernyővédő fájlokat (.scr) használnak célzott adathalász kampányokban, hogy tartós, interaktív hozzáférést szerezzenek vállalati környezetekhez. A módszer lényege, hogy a rosszindulatú futtatható állományokat „képernyővédőnek álcázzák”, kihasználva azt az eltérést, ahogyan a felhasználók és sok biztonsági megoldás kezeli ezeket a fájlokat.

Miért vakfolt a képernyővédő fájl?

A név ellenére a .scr fájlok nem konfigurációs vagy médiafájlok. Ezek teljes értékű Portable Executable (PE) binárisok, vagyis pontosan úgy képesek kódot futtatni, mint egy .exe fájl. Ennek ellenére:

  • sok felhasználó nem tekinti őket veszélyesnek
  • számos védelmi szabály kevésbé szigorúan kezeli
  • alkalmazásvezérlési és e-mail szűrési szabályokon is könnyebben átcsúszhatnak

Andrew Adams, a ReliaQuest kutatója szerint ez valós támadási felületet hoz létre. A képernyővédő fájlok gyakran átjutnak olyan védelmi rétegeken is, amelyek a klasszikus futtatható állományokra már erősen optimalizáltak.

Gyakorlatban ez azt jelenti, hogy a támadó olyan payloadot juttathat be, amely:

  • szokatlannak tűnik, nem kifejezetten veszélyesnek
  • ritkábban van alapértelmezetten tiltva
  • kihasználja a felhasználói kíváncsiságot vagy megszokást

Ez jól illeszkedik egy általános trendbe: nem sérülékenységeket törnek, hanem legitim funkciókat fegyvereznek fel.

Az adathalász lánc: egyszerű, hatékony, újrahasznosítható

A ReliaQuest által elemzett támadási lánc egy üzleti témájú spear phishing e-maillel indul. Ezek gyakran:

  • számlának
  • projektfrissítésnek
  • belső dokumentumellenőrzési kérésnek álcázott üzenetek

Az e-mail egy linket tartalmaz, amely egy .scr fájlra mutat, jellemzően egy fogyasztói felhőtárhelyen (nem vállalati környezetben) hosztolva.

A fájl futtatása után:

  • egy legitim távoli menedzsment eszköz (RMM) települ
  • konkrétan a kereskedelmi JWrapper eszköz
  • a támadó ezt követően normál RMM-funkciókkal csatlakozik a rendszerhez

Ez a megközelítés különösen vonzó a támadók számára, mert:

  • nincs szükség egyedi malware-re
  • minimális saját infrastruktúrát igényel
  • kisebb eséllyel aktivál aláírásalapú védelmeket
  • azonnali, interaktív hozzáférést ad

Mivel az RMM eszközöket IT-csapatok is használják, jelenlétük nem mindig kelt azonnali gyanút, főleg ott, ahol nincs szigorú allowlist.

Living-off-the-land, új köntösben

Az ilyen kampányokat gyakran living-off-the-land (LotL) technikaként írják le: a támadók megbízható, legitim eszközöket használnak fel a kompromittáláshoz.

A telepített RMM eszköz révén a támadó képes:

  • újraindításokon át megmaradó hozzáférésre
  • teljes grafikus asztali vezérlésre
  • fájlok feltöltésére és letöltésére
  • parancsvégrehajtásra és rendszerfeltérképezésre

Innen már csak egy lépés lehet:

  • hitelesítő adatok begyűjtése
  • laterális mozgás
  • adatlopás
  • vagy későbbi ransomware telepítés

A modell rendkívül rugalmas: a támadók könnyen cserélhetik az adathalász témát, a felhőszolgáltatót vagy akár az RMM eszközt – a működési elv változatlan marad.

Nem elszigetelt technika

Bár a képernyővédő-alapú terjesztés újszerűnek tűnhet, valójában jól illeszkedik a meglévő mintákhoz. Korábban támadók már sikerrel használtak:

  • .lnk parancsikon fájlokat
  • ISO image-eket
  • HTML smuggling technikákat
  • aláírt telepítőket

A ReliaQuest szerint 2025 augusztusában is megfigyeltek olyan esetet, ahol .scr fájlokkal terjesztették a GodRAT távoli hozzáférést biztosító trójait pénzügyi intézmények ellen.

A mostani kampányhoz nem köthető egyértelmű APT-csoport:

  • nincs stabil ASN
  • nincs állandó infrastruktúra
  • jellemző a fogyasztói felhők használata

Ez inkább pénzügyi motivációjú, opportunista szereplőkre utal.

Milyen védelmi hiányosságokra világít rá?

A kampány több kellemetlen igazságot is felszínre hoz:

  • a fájltípus-alapú bizalom sok helyen elavult
  • legitim eszközök könnyen fegyverezhetők
  • a felhőszolgáltatások elmoshatják a peremvédelmet

Sok szervezet a malware-blokkolásra fókuszál, miközben kevés figyelmet fordít arra, mi futtatható egyáltalán legitim okból.

Mit tehetnek a szervezetek?

A ReliaQuest többrétegű megközelítést javasol:

1. A .scr fájlokat futtathatóként kell kezelni
A képernyővédő fájlokat explicit módon executábilisként kell kezelni az EDR és alkalmazásvezérlési szabályokban. Windows Defender esetén érdemes csak aláírt vagy jóváhagyott binárisokra korlátozni a futtatást.

2. RMM eszközök szigorú kontrollja
Legyen egyértelmű allowlist az engedélyezett RMM megoldásokról. Minden ettől eltérő telepítés magas súlyosságú incidensként kezelendő.

3. Fogyasztói fájlmegosztók korlátozása
DNS- vagy proxy-szinten jelentősen csökkenthető a kockázat, ha a nem üzleti felhőtárhelyek elérése kontrollált vagy tiltott.

Tartós és növekvő fenyegetés

A képernyővédő-alapú támadások nem fognak eltűnni. Amíg léteznek olyan futtatható formátumok, amelyek „nem tűnnek veszélyesnek”, a támadók ki fogják használni őket.

Ez az eset újra emlékeztet arra, hogy a modern védekezés nem malware-családokról szól, hanem arról, hogyan lehet legitim funkcionalitást visszaélésszerűen használni. Egyetlen kattintás – és egy figyelmen kívül hagyott fájlkiterjesztés – elég lehet egy teljes kompromittáláshoz.

Keresés

Népszerű bejegyzések

Kategóriák

Arhívum

Kövess minket

Az oldal tartalma nem másolható!