Новый сложный вариант ransomware, получивший название «Interlock», использует законную функцию Windows, предназначенную для обеспечения взаимодействия систем, чтобы обойти средства безопасности и отключить критические механизмы защиты. Согласно подробному отчету компании по кибербезопасности Halcyon, вредоносное ПО злоупотребляет инфраструктурой Windows COM (Component Object Model) и DCOM (Distributed COM) — ключевой архитектурной особенностью, позволяющей программным компонентам взаимодействовать. Используя этот доверенный системный процесс, Interlock может выполнять вредоносный код с повышенными привилегиями, фактически превращая основную возможность Windows против самих инструментов безопасности, предназначенных для защиты системы. Эта техника представляет собой значительную эволюцию в методах работы ransomware, выходя за рамки традиционной эксплуатации уязвимостей к использованию основных функций операционной системы в качестве оружия.
Цепочка атаки начинается с развертывания полезной нагрузки ransomware, которая немедленно стремится обеспечить устойчивость и вывести из строя защитные меры. Interlock специально нацелен на процессы, связанные с платформами обнаружения и реагирования на конечных точках (EDR), антивирусным ПО и решениями для резервного копирования, и завершает их. Его способность работать через DCOM особенно вызывает беспокойство, поскольку это позволяет ransomware выполнять команды удаленно или локально под видом законной системной активности, что затрудняет обнаружение с помощью инструментов поведенческого анализа. Кроме того, ransomware использует сильные алгоритмы шифрования для блокировки файлов и добавляет собственное расширение, следуя модели двойного вымогательства, когда украденные данные угрожают опубликовать, если выкуп не будет выплачен.
Эта эксплуатация Windows COM/DCOM подчеркивает растущую тенденцию, когда злоумышленники все чаще «существуют за счет земли», используя встроенные, доверенные системные инструменты и процессы. Этот подход, известный как Living off the Land (LotL), снижает потребность в пользовательском вредоносном ПО, которое может быть обнаружено сигнатурами, и позволяет атакам сливаться с обычной административной деятельностью. Для защитников это означает, что традиционное обнаружение на основе индикаторов недостаточно. Командам безопасности необходимо усилить мониторинг аномального использования инструментов системного администрирования, PowerShell, WMI, а теперь и взаимодействий COM/DCOM. Сегментация сети и строгие политики контроля приложений имеют решающее значение для ограничения lateral movement, которого может достичь такой ransomware после проникновения в сеть.
Чтобы снизить риск, создаваемый Interlock и подобными угрозами, организациям рекомендуется применять многоуровневую стратегию безопасности. Это включает внедрение надежной защиты конечных точек с возможностями поведенческого обнаружения, применение принципа наименьших привилегий для ограничения ненужного использования мощных системных компонентов и поддержание комплексных автономных резервных копий. Регулярное обучение сотрудников вопросам безопасности для предотвращения первоначального фишинга или других векторов вторжения остается первостепенным. Исследователи Halcyon подчеркивают, что понимание и мониторинг законного использования COM/DCOM в среде теперь необходимы для различения нормальных операций и скрытой атаки ransomware, находящейся в процессе выполнения.
