Så skyddar du dig mot attacker som gömmer sig i legitim mjukvara

De mest sofistikerade cyberattackerna idag döljer sig inte i misstänkta e-postbilagor eller skumma nedladdningssajter. De gömmer sig i mjukvara du redan litar på – i uppdateringar från kända leverantörer, i tillägg till program du använder dagligen och i verktyg som din IT-avdelning själv har installerat. Den här typen av angrepp kallas supply chain-attacker och living-off-the-land-tekniker, och de är extremt svåra att upptäcka med traditionella säkerhetsverktyg. När skadlig kod reser med legitima certifikat och körs av betrodda processer räcker inte längre ett vanligt antivirusprogram. Den här artikeln förklarar hur attackerna fungerar och vad du konkret kan göra för att skydda dig.

Hur angripare gömmer sig i legitim mjukvara och varför det är så svårt att upptäcka

För att förstå varför de här attackerna är så farliga behöver du förstå hur moderna säkerhetssystem tänker. Traditionellt antivirusskydd och många företagssäkerhetslösningar bygger på att identifiera känd skadlig kod genom signaturer eller att flagga program som beter sig misstänkt. Båda metoderna har en fundamental svaghet: de förutsätter att det skadliga är synligt och avvikande.

Supply chain-attacken som angreppsväg

En supply chain-attack innebär att angriparen inte attackerar dig direkt utan istället komprometterar mjukvara eller infrastruktur högre upp i leveranskedjan. Istället för att försöka ta sig igenom ditt brandväggssskydd väljer angriparen att infektera uppdateringsservern hos en mjukvarutillverkare du litar på. När din dator sedan hämtar en legitim uppdatering följer den skadliga koden med som en osynlig passagerare.

Det som gör den här attackvektorn särskilt effektiv är att uppdateringen är kryptografiskt signerad med tillverkarens riktiga certifikat. Din dator, ditt antivirusprogram och din IT-avdelning ser en giltig, signerad uppdatering från en betrodd källa och låter den installeras utan invändningar. Den skadliga koden har i praktiken ett officiellt passerkort.

Living-off-the-land och betrodda systemverktyg

En besläktad teknik kallas living-off-the-land, ofta förkortat LotL. Här introducerar angriparen ingen ny skadlig kod alls utan använder istället verktyg som redan finns installerade på systemet för att utföra attacken. Windows egna administrativa verktyg som PowerShell, WMI och certutil används dagligen av systemadministratörer för legitima ändamål, men de kan också användas för att ladda ned ytterligare skadlig kod, stjäla inloggningsuppgifter eller röra sig lateralt i ett nätverk.

När en angripare kör skadliga kommandon via PowerShell ser säkerhetssystemet en känd och betrodd process som utför operationer den är designad för att utföra. Det finns ingen okänd fil att detektera, ingen misstänkt signatur att matcha och inget uppenbart avvikande beteende att reagera på.

Varför traditionella säkerhetslösningar misslyckas

Det grundläggande problemet är att signaturbaserad detektering är reaktiv. Den identifierar hot som redan är kända och klassificerade. En ny attack som reser med legitima certifikat och använder betrodda systemprocesser genererar inga träffar i signaturdatabasen eftersom den tekniskt sett inte är något som tidigare setts som skadligt.

Beteendebaserad detektering är ett steg i rätt riktning men kämpar med samma grundproblem i LotL-scenarion. De aktiviteter som angriparen utför är identiska med aktiviteter som legitima administratörer utför dagligen. Att skilja det skadliga från det legitima kräver kontextuell förståelse som många säkerhetssystem saknar.

De vanligaste vägarna som angripare använder för att dölja sig i legitim mjukvara inkluderar flera distinkta metoder:

• Komprometterade mjukvaruuppdateringar signerade med tillverkarens riktiga certifikat.
• Skadlig kod inbäddad i tillägg och plugins till legitima program.
• Missbruk av inbyggda systemverktyg som PowerShell och WMI för att undvika detektering.
• Kapning av legitima processer genom kodinjicering i redan körande program.

Verkliga exempel som visar hur sofistikerade dessa attacker faktiskt är

Abstrakt kunskap om attacktekniker är en sak, men det är de verkliga fallen som tydligast illustrerar hur långtgående konsekvenserna kan bli. Några av de mest omtalade cyberattackerna de senaste åren har just använt legitim mjukvara som trojan, och de visar att inte ens de mest resursstarka organisationer är immuna.

SolarWinds – när en it-leverantör blev ett vapen

Ett av de mest omtalade fallen i modern cybersäkerhetshistoria är attacken mot SolarWinds 2020. Angriparna, som senare kopplades till en statsstödd aktör, lyckades kompromissa tillverkarens byggmiljö för nätverkshanteringsprogrammet Orion. Det innebar att de fick tillgång till processen där mjukvaran faktiskt kompileras och paketeras inför distribution.

Resultatet var att en skadlig bakdörr, döpt Sunburst av säkerhetsforskare, inkluderades i legitima uppdateringspaket som sedan distribuerades till upp till arton tusen organisationer världen över. Bland de drabbade fanns amerikanska myndigheter, försvarsrelaterade organisationer och stora teknikbolag. Bakdörren var aktiv i månader innan den upptäcktes, och den var designad för att ligga vilande i upp till två veckor efter installation för att undvika detektering i sandboxmiljöer.

3CX och den kedjade supply chain-attacken

Ett ännu mer sofistikerat exempel inträffade 2023 när kommunikationsprogrammet 3CX drabbades av en supply chain-attack. Det som gjorde det här fallet unikt var att anfallet i sig var resultatet av en tidigare supply chain-attack. Angriparna hade komprometterat ett finansiellt programvarupaket som en 3CX-anställd hade installerat, och via den infekterade mjukvaran fick de tillgång till 3CX:s utvecklingsmiljö.

Den skadliga koden som sedan distribuerades via 3CX:s legitima uppdateringar var signerad med företagets riktiga certifikat och passerade initialt de flesta säkerhetskontroller utan att väcka misstanke. Attacken illustrerar hur en komprometterad länk i leveranskedjan kan skapa en kaskadeffekt som drabbar hundratusentals slutanvändare nedströms.

XZ Utils och det nästintill lyckade öppen källkod-anfallet

Ett av de mest alarmerande fallen på senare tid gällde XZ Utils, ett komprimeringsbibliotek som används i nästan alla Linux-distributioner. En angripare hade under mer än två år systematiskt byggt upp förtroende i det öppna källkodsprojektet under en falsk identitet, bidragit med legitima kodförbättringar och gradvis tagit på sig underhållsansvar.

När angriparen väl hade tillräckliga behörigheter i projektet introducerades en skadlig bakdörr i koden som hade potential att ge obehörig åtkomst till miljontals servrar världen över. Anfallet upptäcktes av en slumpmässig iakttagelse av en Microsoft-ingenjör som noterade ovanliga prestandaegenskaper i SSH-inloggningar. Utan det lyckliga avbrottet hade bakdörren sannolikt distribuerats till produktionsservrar i stor skala via vanliga systemuppdateringar, helt utan att något säkerhetssystem hade reagerat.

Konkreta åtgärder som skyddar dig när traditionellt antivirusskydd inte räcker

Att förstå hur attackerna fungerar är första steget, men det avgörande är vad du faktiskt kan göra för att minska risken. Ingen enskild åtgärd ger fullständigt skydd mot supply chain-attacker och living-off-the-land-tekniker, men en kombination av rätt verktyg och vanor höjer ribban dramatiskt för en angripare.

Begränsa vad program och processer får göra

En av de mest effektiva principerna i modern säkerhet är minsta möjliga behörighet, eller principle of least privilege. Det innebär att program, användarkonton och processer bara ska ha tillgång till de resurser de faktiskt behöver för att fungera. En texteditor behöver inte nätverksåtkomst. Ett bokföringsprogram behöver inte kunna köra PowerShell-kommandon.

I Windows kan du begränsa PowerShell-exekvering via exekveringspolicyer och AppLocker, ett inbyggt verktyg som låter dig definiera exakt vilka program och skript som får köras på systemet. AppLocker är tillgängligt i Windows Enterprise och Education och är ett kraftfullt verktyg för att blockera oauktoriserade processer även om de försöker gömma sig bakom legitima systemverktyg.

Övervaka beteenden snarare än signaturer

Eftersom signaturbaserad detektering misslyckas mot okända hot behöver du komplettera med verktyg som analyserar beteenden och avvikelser. Microsoft Defender for Endpoint, som ingår i vissa Windows-licenser, inkluderar beteendebaserad detektering och attack surface reduction-regler som specifikt begränsar hur systemverktyg som PowerShell och WMI får användas.

För privatpersoner och mindre organisationer utan tillgång till enterpriselicenser finns alternativ som Sysmon, ett gratis Microsoft-verktyg som loggar detaljerad information om processer, nätverksanslutningar och filsystemändringar. Kombinerat med ett logganalysverktyg skapar det en övervakningsnivå som vida överstiger vad ett vanligt antivirusprogram erbjuder.

Hantera uppdateringar med mer eftertanke

Det råd som länge stått oemotsagt i säkerhetsvärlden, att alltid installera uppdateringar omedelbart, behöver nyanseras i ljuset av supply chain-attacker. Det betyder inte att du ska sluta uppdatera, tvärtom är oparpade system fortfarande en av de vanligaste attackvektorerna. Men det betyder att det finns värde i att inte vara allra först med att installera en ny uppdatering för icke-kritisk mjukvara.

Stora organisationer använder staging-miljöer där uppdateringar testas innan de rullas ut brett. Som privatperson eller liten organisation kan du tillämpa en enklare version av samma princip genom att vänta några dagar med icke-kritiska uppdateringar och bevaka säkerhetsnyheter för att fånga upp eventuella larm.

De viktigaste skyddsåtgärderna att prioritera samlas här:

• Aktivera AppLocker eller motsvarande verktyg för att begränsa vilka processer som får köras.
• Installera Sysmon för detaljerad processloggning som avslöjar avvikande beteenden.
• Begränsa PowerShell till signerade skript via exekveringspolicyer i Windows.
• Använd separata användarkonton utan administratörsbehörighet för vardaglig datoranvändning.
• Övervaka utgående nätverkstrafik från ovanliga processer med ett enkelt nätverksövervakningsverktyg.