In precedenza associati con gli attacchi nazione sponsorizzato come il worm Stuxnet, il malware fileless sta ora corrente principale. Secondo un imminente Kaspersky Lab ricerca, reti di almeno 140 le banche sono stati infettati da malware fileless che si basa su in memoria di progettazione di rimanere quasi invisibile, come spiegato da Arstechnica.
Considerando le difficoltà di individuare tali attacchi, il numero delle imprese interessate è probabilmente molto più alto di quanto inizialmente previsto. L'impiego di strumenti legittimi e molto popolari come PowerShell, Metasploit e Mimikatz per il processo di iniezione rende il rilevamento quasi impossibile, ricercatori sottolineano.
In una conversazione con esperti Arstechnica Kaspersky Lab Kurt Baumgartner ha detto che "ciò che è interessante è che questi attacchi sono in corso a livello globale contro le banche stesse", aggiungendo che nella maggior parte dei casi, le banche non sono stati preparati in modo efficace e non può trattare con questi attacchi. Le cose si fanno ancora peggio, come l'anonimo 140 le organizzazioni sono sparsi in tutto il 40 paesi diversi, con noi, Francia, Ecuador, Kenia, e il Regno Unito di essere i primi cinque territori più mirati.
Sfortunatamente, i ricercatori di Kaspersky non erano in grado di delineare chi è dietro gli attacchi, e se si tratta di un gruppo unico o vari quelli concorrenti. Perché? il malware Fileless in combinazione con i domini di comando-server che di default non sono associati a tutti i dati whois rende il processo di identificazione molto impegnativo, se non del tutto impossibile.
Come ha fatto Kaspersky Lab imbattersi in questi risultati?
La minaccia fileless schierato contro le banche e le imprese è stato scoperto alla fine del 2016. Questo è quando la squadra di sicurezza di una banca senza nome sono imbattuto in una copia metro Preter, un componente in memoria di Metasploit, risiedono all'interno della memoria fisica di un controller di dominio di Microsoft, Arstechnica dice. Il team ha poi concluso che il codice Meterpreter è stato scaricato e iniettato in memoria utilizzando i comandi PowerShell. Il sistema vittima utilizzato anche strumento di networking NETSH di Microsoft per il trasporto di dati su server controllati dagli aggressori. Mimikatz è stato anche distribuito per ottenere privilegi di amministratore.
Non c'era quasi nessuna prova lasciato come gli attaccanti nascondevano i comandi PowerShell nel Registro di sistema di Windows. C'era ancora qualche prova intatto a sinistra - sul controller di dominio. I ricercatori ritengono che fosse ancora lì perché non era stato riavviato prima di Kaspersky hanno iniziato il loro esame. Alla fine i ricercatori sono stati in grado di ripristinare il codice Meterpreter e Mimikatz per determinare che gli strumenti sono stati dispiegati per raccogliere le password di amministratori di sistema e per l'amministrazione remota di computer host infetti.
Stiamo guardando il denominatore comune in tutti questi incidenti, che risulta essere questo uso strano in embedding PowerShell nel Registro di sistema, al fine di scaricare Meterpretor e quindi realizzare azioni da lì con le utility di Windows nativi e di sistema strumenti di amministrazione.
Quanto a come sono stati avviati gli attacchi, nulla è ancora concreta, ma è possibile che SQL injection è stato utilizzato insieme con exploit mira plugin di WordPress. Maggiori informazioni su gli attacchi di malware fileless sono attesi nel mese di aprile, compresi i dettagli su come le infezioni sono stati dispiegati a sifone denaro dal bancomat.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: