Tidligere forbundet med nation-sponsorerede angreb som Stuxnet-ormen, fileless malware nu går mainstream. Ifølge en kommende Kaspersky Lab forskning, netværk af mindst 140 banker er blevet inficeret af fileless malware, der er afhængig af in-memory design til at forblive næsten usynlig, som forklaret af Arstechnica.
I betragtning af de vanskeligheder med at spotte sådanne angreb, antallet af berørte virksomheder er mest sandsynligt meget højere end oprindeligt forventet. Indsættelsen af legitime og ganske populære værktøjer såsom PowerShell, Metasploit og Mimikatz til indsprøjtning proces gør påvisning næsten umuligt, Forskerne påpeger.
I en samtale med Arstechnica Kaspersky Lab ekspert Kurt Baumgartner sagde, at "hvad der er interessant, er, at disse angreb er i gang globalt mod bankerne selv", tilføjer, at i de fleste tilfælde har bankerne ikke udarbejdet effektivt og kan ikke beskæftige sig med disse angreb. Tingene bliver endnu værre, da den anonyme 140 organisationer er spredt over hele 40 forskellige lande, med os, Frankrig, Ecuador, Kenya, og Storbritannien er de fem mest målrettede områder.
Desværre, Kaspersky forskere var ikke i stand til at skitsere hvem der står bag angrebene, og om det er en enkelt gruppe eller flere konkurrerende dem. Hvorfor det? Fileless malware i kombination med kommando-server domæner der som standard ikke er forbundet med nogen whois data gør identifikationsprocessen ganske udfordrende, hvis ikke helt umuligt.
Hvordan har Kaspersky Lab Come Across Disse resultater?
Den fileless trussel indsat mod banker og virksomheder blev først opdaget i slutningen af 2016. Det er, når en unavngiven bank sikkerhed hold kom på tværs af en kopi af meter Preter, en in-memory komponent i Metasploit, bosiddende inde fysiske hukommelse af et Microsoft-domænecontroller, Arstechnica siger. Holdet senere konkluderede, at Meterpreter koden blev hentet og injiceret i hukommelsen ved hjælp af PowerShell-kommandoer. Det offer system, der anvendes også Microsofts NETSH netværk værktøj til at transportere data til servere, der kontrolleres af angriberne. Mimikatz blev også indsat for at opnå administratorrettigheder.
Der var næsten ingen beviser tilbage som angriberne skjulte PowerShell kommandoer i Windows registreringsdatabasen. Der var stadig nogle intakte beviser venstre - på domænecontrolleren. Forskere mener, det var der stadig, fordi det ikke var blevet genstartet før Kaspersky begyndte deres undersøgelse. Til sidst var forskerne i stand til at genoprette Meterpreter og Mimikatz kode for at fastslå, at de værktøjer, blev indsat til at indsamle adgangskoder for sys admins og for fjernadministration af inficerede værtscomputere.
Vi ser på fællesnævneren på tværs af alle disse hændelser, som tilfældigvis er denne mærkelige brug i indlejring PowerShell ind i registreringsdatabasen for at hente Meterpretor og derefter gennemføre tiltag derfra med indfødte Windows hjælpeprogrammer og system administrative værktøjer.
Med hensyn til, hvordan angrebene blev påbegyndt, intet er endnu konkret, men det er muligt, at SQL-injektion blev brugt sammen med exploits rettet mod WordPress plugins. Flere detaljer om de fileless malware-angreb forventes i april, herunder oplysninger om, hvordan infektioner blev indsat for at sifon penge ud af pengeautomater.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: