RenderShock: угроза нулевого щелчка через скрытую обработку файлов

Источник: www.cyfirma.com
Современные угрозы в области кибербезопасности продолжают развиваться, становясь всё более изощрёнными и незаметными. Одной из таких угроз является платформа RenderShock — сложная атака с нулевым щелчком мыши (zero-click attack), которая использует пассивные методы обработки файлов в операционных системах и корпоративных средах. Вопреки традиционным вредоносным программам, требующим участия пользователя, RenderShock автоматически выполняет вредоносные действия, используя встроенные механизмы доверия и стандартные системные функции.
Механизм работы RenderShock
RenderShock базируется на создании цепочек использования, которые эксплуатируют системы пассивной обработки файлов, такие как:
- предварительный просмотр документов (Document Preview Handlers),
- агенты индексации (Indexing Agents),
- панель предварительного просмотра в проводнике Windows,
- macOS Quick Look,
- почтовые клиенты, включая Outlook.
Данные компоненты обрабатывают файлы и отображают их содержимое без явных действий пользователя — достаточно лишь выделить файл, чтобы запустить вредоносные процессы. Среди возможных последствий — удалённая загрузка данных, утечка NTLM-хэшей и выполнение произвольного кода.
Особенности и методы атаки RenderShock
Ключевыми особенностями RenderShock являются:
- Встраивание вредоносного кода в метаданные файлов. Злоумышленники внедряют вредоносные элементы в метаданные, которые активируются при предварительном просмотре.
- Использование файловых форматов и упаковщиков с высокой степенью скрытности. Это включает внедрение макросов в DOCX / XLSM, а также применение ZIP и ISO с встроенными .lnk-ярлыками, обходящими многие средства защиты.
- Применение многоязычных форматов файлов. Данный подход сбивает с толку антивирусные и DLP-системы, затрудняя правильную интерпретацию содержимого и позволяя обойти обнаружение.
- Удалённое внедрение шаблонов. Позволяет выполнять код во время предварительного просмотра документов, что обходят традиционные методы обнаружения макросов.
Одним из показательных примеров является вредоносный файл с расширением .lnk, который может инициировать у Windows загрузку иконок с удалённого сервера. Это может привести к утечке конфиденциальных данных авторизации и сделать возможным дальнейшие этапы атаки.
Возможности злоумышленников и масштабы атаки
RenderShock предоставляет злоумышленникам широкий спектр возможностей для атак, включая:
- перечисление пользователей и хостов;
- снятие отпечатков пальцев операционной системы;
- сбор токенов NTLMv2 и запуск обратных SMB-вызовов для ретрансляционных атак;
- выполнение произвольных команд в системе, способствующих дальнейшему проникновению и контролю.
Запуская обратные вызовы SMB, атака позволяет собирать критически важную информацию о структуре корпоративной сети, что увеличивает риск несанкционированного доступа.
Рекомендации по защите от RenderShock
Для противодействия RenderShock специалисты по кибербезопасности должны внедрять комплексные меры мониторинга, включающие:
- анализ аномального поведения процессов, связанных с предварительным просмотром и синтаксическим разбором файлов;
- корреляцию сетевой активности с файловыми событиями;
- настройку оповещений на запросы к внешним ресурсам, инициируемые доверенными системными компонентами;
- обновление системных политик и настроек безопасности для минимизации рисков обработки потенциально опасных файлов.
Только комплексный подход к мониторингу и защите позволит своевременно выявлять и нейтрализовать угрозы, подобные RenderShock.
Заключение
RenderShock — это яркий пример смены парадигмы в области файловых атак: теперь более опасными становятся неявные, «пассивные» пути выполнения кода без участия пользователя. Эта угроза подчёркивает важность постоянного развития средств детектирования и адаптации корпоративных систем безопасности, чтобы эффективно противостоять современным вызовам киберугроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



