«Часть функций современных операционных систем предполагают множество фоновых операций, которые формируют пассивную поверхность атаки. Часть функций работают так, что по умолчанию предварительный просмотр или индексация файла безопасны — именно этот принцип работы открывает бескрайнее пространство для атак без участия пользователя. Подобную модель атаки назвали RenderShock ("вызвать шок") и описывают как особенность поведения систем для скрытности, персистентности и расширения возможностей атак», — объясняет эксперт в области кибербезопасности, инженер-аналитик компании «Газинформсервис» Ирина Дмитриева.
RenderShock использует «тихий» подход для заражения устройств — задействование доверенных компонентов, которые в фоновом режиме анализируют вредоносные файлы. В список доверенных элементов системы входят обработчики предварительного просмотра документов, обработчики метаданных, клиенты синхронизации и индексаторы. Примерами принудительного запуска пассивных обработчиков может быть предпросмотр документа в Outlook или в проводнике. Такие обработчики могут эксплуатироваться для пассивного запуска вредоносных элементов из PDF-документа с внешней ссылкой или Word-файла с макросом. В то же время облачные и сетевые хранилища автоматически загружают и индексируют файлы, что может привести к запуску эксплойта.
Чтобы реализовать эту методику, вредоносные файлы проектируются так, что их нельзя запустить вручную; их исполнение срабатывает только автоматически, когда система сама пытается их проанализировать, просмотреть или проверить. Для доставки используются файлы, требующие минимального или нулевого взаимодействия пользователя — примитивы вроде PDF, DOCS или более изощрённые триггеры «нулевого клика» (шрифты TTF/WOFF, «полиглотные» PNG+HTML, файлы .CHM). Доставка происходит без активных действий жертвы: файлы размещаются в местах, где системы автоматически их обработают, — например, во вложениях писем в общие почтовые ящики или в общих сетевых папках, которые активно индексируются. Атака активируется в момент автоматического взаимодействия системы с файлом: когда проводник Windows генерирует превью, антивирус сканирует содержимое, почтовый клиент создаёт миниатюру вложения, служба индексирования извлекает метаданные или macOS Quick Look формирует эскиз. Как только система касается файла (курсор в проводнике, фоновая проверка, индексация), немедленно запускается встроенная вредоносная логика. Полезная нагрузка может выполнять разрушительные действия: красть хэши аутентификации NTLMv2 через поддельные UNC-пути, осуществлять DoS-атаки или, что опаснее всего, обеспечивать удалённое выполнение кода (RCE). Для защиты от обнаружения вредоносных действий используют TLS для закрепления связи с сервером, меняют домены маяков. После успешного взлома злоумышленники продвигаются по инфраструктуре, используя скомпрометированные учётные данные и уязвимости для поиска ценных данных или установки постоянного доступа.
RenderShock задействует легитимные системные процессы — explorer.exe, searchindexer.exe, — это позволяет ему не вызывать подозрений у антивирусных решений, фаерволов, EDR и иных средств анализа трафика.
«Для защиты от описанного класса атак рекомендуется тщательная проверка этапов автоматической обработки файлов. Но первостепенно требуется применение базовых мер защиты, таких как ограничение исходящего SMB-трафика (порт 445) в ненадёжные сети и мониторинг попыток аутентификации NTLM на внешние IP-адреса. Для продвинутого мониторинга рекомендуется проводить автоматическую пометку файлов со скрытыми макросами, настроить алертинг при попытках офисных приложений обращаться к внешним ресурсам при открытии или предпросмотре файлов, а также анализировать сетевое поведение процессов проводника (explorer.exe), индексации (searchfilterhost.exe) и предпросмотра на macOS (quicklookd). Для функций мониторинга и реагирования на инциденты, связанными с подобным классом угроз, можно обращаться в GSOC компании "Газинформсервис". Работа с подобными кейсами по плечу экспертам команды инцидент-респонса с сертификатами о квалификации CISSP, CISM, CEH, OSWE, OSCP», — отметила Дмитриева.
