Zuvor mit Nation gesponserten Attacken wie der Stuxnet-Wurm, dateilosen Malware geht jetzt Mainstream. Nach einem bevorstehenden Kaspersky Lab Forschung, Netzwerke von mindestens 140 Banken wurden von dateilosen Malware infiziert, die Design im Speicher beruht auf nahezu unsichtbar bleiben, wie erläutert von Arstechnica.
In Anbetracht der Schwierigkeiten bei solchen Angriffen Spek, die Zahl der betroffenen Unternehmen ist wahrscheinlich viel höher als ursprünglich erwartet. Der Einsatz von legitimen und sehr beliebt Tools wie Powershell, Metasploit und Mimikatz für das Injektionsverfahren macht die Erfassung nahezu unmöglich, Forscher weisen darauf hin,.
In einem Gespräch mit Arstechnica Kaspersky Lab Experte sagte Kurt Baumgartner, dass "was hier interessant ist, ist, dass diese Angriffe global gegen Banken im Gange sind, sich", fügte hinzu, dass in den meisten Fällen haben die Banken nicht effektiv vorbereitet und mit diesen Angriffen nicht umgehen können. Die Dinge werden noch schlimmer als das anonyme 140 Organisationen sind über die Streu 40 verschiedene Länder, mit uns, Frankreich, Ecuador, Kenia, und das Vereinigte Königreich sind die fünf relevantesten Gebiete.
Leider, Kaspersky Forscher waren nicht in der Lage zu skizzieren, die hinter den Anschlägen, und ob es sich um eine einzelne Gruppe oder mehrere konkurrierende. Warum das? Dateilose Malware in Kombination mit Befehl-Server-Domänen, die standardmäßig nicht mit irgendwelchen whois-Daten assoziiert macht den Identifikationsprozess eine ziemliche Herausforderung, wenn nicht ganz unmöglich,.
Wie hat Kaspersky Lab Kommen diese Befunde bei allen?
Die Bedrohung im Einsatz gegen dateilose Banken und Unternehmen wurde zum ersten Mal am Ende entdeckt 2016. Dies ist, wenn ein Sicherheitsteam des ungenannten Bank stieß auf eine Kopie Meter Preter, eine In-Memory-Komponente von Metasploit, mit Wohnsitz innerhalb physischen Speicher eines Microsoft-Domänen-Controller, Arstechnica sagt. Das Team schloss später, dass der Meterpreter Code heruntergeladen wurde und injiziert in den Speicher unter Verwendung von Powershell-Befehle. Das Opfer-System verwendet auch NETSH Networking-Tool von Microsoft Daten an Server von den Angreifern kontrolliert zu transportieren. Mimikatz wurde auch Admin-Rechte eingesetzt zu erhalten.
Es gab fast keine Beweise links, wie die Angreifer die Powershell versteckte Befehle in der Windows-Registrierung. Es gab immer noch links einige intakte Beweise - auf dem Domänencontroller. Die Forscher glauben, es war immer noch da, weil es nicht neu gestartet wurde, bevor Kaspersky ihre Prüfung begann. Schließlich waren die Forscher in der Lage, die Meterpreter und Mimikatz Code wiederherzustellen, um festzustellen, dass die Werkzeuge Passwörter von Systemadministratoren eingesetzt wurden zu sammeln und für die Remote-Administration von infizierten Host-Computern.
Wir suchen auf dem gemeinsamen Nenner über alle diese Vorfälle, das geschieht in Einbetten von Powershell in die Registry, um diese ungerade Nutzen sein Meterpretor herunterladen und dann Aktionen von dort mit Verwaltungstools um native Windows-Utilities und System ausführen.
Darüber, wie wurden die Angriffe eingeleitet, Es ist noch nichts konkret, aber es ist möglich, dass SQL-Injection verwendet wurde, zusammen mit Exploits Targeting Wordpress-Plugins. Weitere Details über die dateilosen Malware-Attacken werden im April erwartet, mit Angaben darüber, wie wurden die Infektionen eingesetzt Geld aus Geldautomaten Siphon.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: