Auparavant associée à des attaques de la nation parrainé comme le ver Stuxnet, malware fileless est maintenant grand public va. Selon un prochain Kaspersky Lab recherche, les réseaux d'au moins 140 les banques ont été infectés par des logiciels malveillants fileless qui repose sur la conception en mémoire de rester presque invisible, comme expliqué par Arstechnica.
Compte tenu des difficultés à repérer de telles attaques, le nombre d'entreprises concernées est très probablement beaucoup plus élevé que prévu initialement. Le déploiement d'outils légitimes et tout à fait populaires tels que PowerShell, Metasploit et Mimikatz pour le procédé d'injection permet de détecter pratiquement impossible, chercheurs soulignent.
Dans une conversation avec un expert Arstechnica Kaspersky Lab Kurt Baumgartner a déclaré que «ce qui est intéressant ici est que ces attaques sont en cours à l'échelle mondiale contre les banques elles-mêmes", ajoutant que dans la plupart des cas, les banques ont pas été préparés de manière efficace et ne peut pas faire face à ces attaques. Les choses deviennent encore pire que l'anonyme 140 organisations sont dispersés dans toute la 40 différents pays, avec nous, France, Equateur, Kenya, et le Royaume-Uni étant les cinq premiers territoires les plus ciblés.
Malheureusement, les chercheurs de Kaspersky ne sont pas en mesure d'indiquer qui est derrière les attaques, et si elle est d'un seul ou de plusieurs groupes concurrents. Pourquoi donc? malware Fileless en combinaison avec des domaines de commande serveur qui par défaut ne sont pas associés à des données whois rend le processus d'identification très difficile, sinon absolument impossible.
Comment Kaspersky Lab at-découvrions ces?
La menace de fileless déployée contre les banques et les entreprises a été découvert à la fin de 2016. Ceci est lorsque l'équipe de sécurité d'une banque sans nom est venu à travers une copie de mètre Preter, une composante en mémoire de Metasploit, résidant à l'intérieur de la mémoire physique d'un contrôleur de domaine Microsoft, Arstechnica dit. L'équipe a conclu plus tard que le code Meterpreter a été téléchargé et injecté dans la mémoire en utilisant les commandes PowerShell. Le système victimisés également utilisé outil de réseautage NETSH de Microsoft pour transporter des données vers des serveurs contrôlés par les attaquants. Mimikatz a également été déployé pour obtenir des privilèges d'administrateur.
Il n'y avait presque pas de preuve à gauche que les attaquants cachèrent les commandes PowerShell dans le registre Windows. Il y avait encore une preuve intacte à gauche - sur le contrôleur de domaine. Les chercheurs croient qu'il était toujours là parce qu'il n'a pas été redémarré avant que Kaspersky a commencé leur examen. Finalement, les chercheurs ont été en mesure de restaurer le code Meterpreter et Mimikatz pour déterminer que les outils ont été déployés pour recueillir les mots de passe des administrateurs de sys et pour l'administration à distance des ordinateurs hôtes infectés.
Nous examinons le dénominateur commun dans l'ensemble de ces incidents, qui se trouve être cette utilisation bizarre dans l'intégration PowerShell dans le registre afin de télécharger Meterpretor puis mener des actions à partir de là avec les utilitaires natifs Windows et les outils d'administration système.
Quant à la façon dont les attaques ont été lancées, rien est encore concret, mais il est possible que l'injection SQL a été utilisé conjointement avec les exploits ciblant plugins WordPress. Plus de détails sur les attaques de logiciels malveillants fileless sont attendus en Avril, y compris des détails sur la façon dont les infections ont été déployés pour siphonner l'argent des distributeurs automatiques de billets.