Eerder in verband met natie gesponsorde aanvallen zoals de Stuxnet worm, fileless malware gaat nu mainstream. Volgens een aanstaande Kaspersky Lab onderzoek, netwerken van ten minste 140 banken zijn geïnfecteerd door fileless malware die op vertrouwt in-memory ontwerp bijna onzichtbaar te blijven, zoals uitgelegd door Arstechnica.
Gezien de moeilijkheden bij het spotten van dergelijke aanvallen, het aantal getroffen bedrijven is waarschijnlijk veel hoger dan aanvankelijk verwacht. De inzet van legitieme en heel populaire tools zoals PowerShell, Metasploit en Mimikatz het injectieproces maakt de detectie bijna onmogelijk, onderzoekers wijzen erop.
In een gesprek met Arstechnica Kaspersky Lab expert zei Kurt Baumgartner dat "wat interessant is dat deze aanvallen zijn aan de gang wereldwijd tegen banken zelf", toe te voegen dat in de meeste gevallen de banken onvoldoende zijn opgesteld en kan niet omgaan met deze aanslagen. Dingen krijgen nog erger als de anonieme 140 organisaties zijn verspreid over de 40 verschillende landen, met ons, Frankrijk, Ecuador, Kenia, en het Verenigd Koninkrijk zijn de top vijf van meest doelgerichte gebieden.
Helaas, Kaspersky onderzoekers waren niet in staat aan te geven wie er achter de aanslagen, en of het een enkele groep of meerdere concurrerende degenen. Waarom is dat? Fileless malware in combinatie met command-server domeinen die standaard niet worden geassocieerd met een whois-gegevens maakt het identificatieproces heel uitdagend, zo niet volstrekt onmogelijk.
Hoe heeft Kaspersky Lab tegengekomen deze bevindingen?
De fileless dreiging ingezet tegen banken en ondernemingen werd voor het eerst ontdekt aan het einde van 2016. Dit is wanneer een niet nader genoemde bank security team kwam een kopie van Meterpreter, een in-memory component van Metasploit, aanwezig zijn in het fysieke geheugen van een Microsoft-domein controller, ArsTechnica zegt. Het team later concludeerde dat de Meterpreter code is gedownload en geïnjecteerd in het geheugen met behulp van PowerShell commando's. Het slachtoffer systeem ook gebruikt NETSH networking tool van Microsoft om gegevens naar servers gecontroleerd door de aanvallers te vervoeren. Mimikatz werd ook ingezet om admin privileges te verkrijgen.
Er was bijna geen bewijs gelaten als de aanvallers verborg de PowerShell-opdrachten in het Windows-register. Er was nog wat intact bewijs links - op de domeincontroller. Onderzoekers geloven dat het er nog steeds was, omdat het niet was gestart voordat Kaspersky hun onderzoek begonnen. Uiteindelijk konden de onderzoekers de Meterpreter en Mimikatz code te herstellen om te bepalen dat de middelen werden ingezet om wachtwoorden van sys admins te verzamelen en voor het beheer op afstand van de geïnfecteerde gastheer computers.
We kijken naar de grootste gemene deler in al deze incidenten, die toevallig deze vreemde gebruiken in het inbedden van PowerShell in het register om Meterpretor acties downloaden en vervolgens uit te voeren vanaf daar met native Windows-hulpprogramma's en het systeem beheerprogramma's.
Hoe de aanslagen ingeleid, niets is nog concreet, maar het is mogelijk dat SQL-injectie samen werd gebruikt met exploits gericht WordPress plugins. Meer details over de fileless malware-aanvallen zullen naar verwachting in april, inclusief details over hoe de infecties werden ingezet om geld te hevelen uit geldautomaten.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: