Windows - mark of the web

“Windows - mark of the web” (MOTW) je sigurnosni mehanizam koji pokušava zaštititi korisnike windows računala od nepouzdanih ili opasnih datoteka preuzetih s interneta. Samim time MOTW ima ključnu ulogu u zaštiti korisnika i operativnog sustava u modernom povezanom svijetu.

Sama ideja MOTW-a je označiti datoteke preuzete s interneta, te na taj način upozoriti antivirusne programe i windows defender da moraju provjeriti navedenu datoteku. Nadalje, ta oznaka, uz tip datoteke, služi za određivanje je li potrebno tražiti dozvolu za pokretanje i izvršavanje datoteke ili programa. [2]

MOTW nije savršen te ime neka propuste u pogledu zaštite. Uz to MOTW može stvoriti novi vektor napada te time u konačnici pogoršati sigurnost cijelog sustava. [1]

Prva vertija MOTW-a potječe iz Internet Explorera. Tada se koristio za označavanje spremljenih web stranica. Na početak spremljene HTML datoteke bio bi dodan komentar <!-–saved from url=…>. Kasnije je taj mehanizam proširen kako bi mogao označiti datoteke koje nisu HTML. Navedeno je postignuto korištenjem alternativnih toka podataka.

Naime NTFS datotečni sustav još od Windowsa 3.1 podržava dodatni tok podataka (eng. alternate data stream (ADS)). To znači da uz jedno ime datoteke može biti vezano više tokova podataka (“ime_datoteke:ime_toka”). [2]

Danas MOTW koristi poseban tok “Zone.Identifier” u koji zapisuje podatke o izvoru datoteke. Zapisani podaci su uglavnom: ZoneId , ReferrerUrl i HostUrl.

Svi tokovi podataka vezani uz datoteku mogu se izlistati naredbom “Get-Item ./datoteka -Stream *” [2] Nama je interesantan tok “Zone.Identifier”. Njegove detalje možemo dohvatiti naredbom “Get-Content ./datoteka -Stream Zone.Identifier” [2] Navedeni tok može sadržavati polja: ZoneId , ReferrerUrl i HostUrl.

ZoneId predstavlja zonu iz koje datoteka potječe. Moguće vrijednosti su:

• 0 - lokalno računalo
• 1 - lokalni internet
• 2 - povjerljiva stranica
• 3 - internet
• 4 - ograničena stranica

ReferrerUrl je url adresa stranice s koje je datoteka preuzeta.

HostUrl je url same datoteke na poslužitelju.

Iduće pitanje je to zapisuje MOTW. Danas datoteke s interneta na računalo mogu doći na mnogobrojne načine, npr. preuzimanjem iz preglednika, preuzimanjem s web poslužitelja, preko git naredbe…

Windows je odlučio obvezu zapisivanja MOTW staviti upravo na te aplikacije. Aplikacijama se pruža opcija implementacije sučelja IAttachmentExecute (npr. Chrome) ili direktnog zapisivanja toka (npr. Firefox). [3] Naravno neke aplikacije ne implementiraju niti jedan način zapisa MOTW-a (Git) te na datotekama preuzetim iz takvih aplikacija ne postoji MOTW. [4]

Sam MOTW nema nikakve sigurnosne značajke. On doprinosi sigurnosti sustava na način da upozorava sustav na moguću opasnost.

Primjer kako windows-i koriste MOTW je prilikom pokretanja exe datoteka. Ako datoteka sadrži MOTW, prije pokretanja, windows defender i antivirusni program će provjeriti je li datoteka na popisu poznatih prijetnji. Uz provjeru antivirusa, korisnik će dobiti još jednu priliku da odustane od pokretanja uz prikaz osnovnih informacija o datoteci tj. izdavaču softwara. [1]

Još jedan primjer su programi ms office. Otvaranjem bilo koje datoteke s MOTW, ms office prikazuje sadržaj u zaštićenom pogledu. Uz taj prikaz, od 2022 godine, ms office blokira izvršavanje svih macro naredbi. [1]

[1] https://textslashplain.com/2016/04/04/downloads-and-the-mark-of-the-web/

[2] https://www.outflank.nl/blog/2020/03/30/mark-of-the-web-from-a-red-teams-perspective/

[3] https://redcanary.com/threat-detection-report/techniques/mark-of-the-web-bypass/

[4] https://redcanary.com/blog/iso-files/