Zeroday malware die traditionele antivirus handtekeningen omzeilt in de lift

Gepubliceerd op 30 september 2020 om 08:00
Zeroday malware die traditionele antivirus handtekeningen omzeilt in de lift

Maar liefst 70 procent van alle cyberaanvallen tijdens het tweede kwartaal van 2020 zetten zero-day malware in. Dat is een stijging van 12 procent ten opzichte van het eerste kwartaal, zo blijkt uit het nieuwe Internet Security Rapport over Q2 van 2020 van securityleverancier 'WatchGuard Technologies'. Deze malware omzeilt traditionele antivirus-handtekeningen en zijn hierdoor moeilijker detecteerbaar.

Activiteiten aanpassen

“Het zijn niet alleen legitieme bedrijven die hun activiteiten door COVID19 hebben aangepast”, zegt Corey Nachreiner, CTO van WatchGuard. “Cybercriminelen zetten geavanceerde aanvalsmethoden in. We zien een lichte daling van 8 procent van het totaal aantal aanvallen, waarschijnlijk omdat meer mensen thuiswerken. Daartegenover zien we dat aanvallers traditionele antimalware gebaseerd op signatures weten te ontwijken. Het is van groot belang dat bedrijven dreigingen gaan detecteren op basis van het gedrag, cloud sandboxing inzetten en een gelaagde aanpak voeren om zowel hun eigen netwerk als dat van thuiswerkers te beschermen.”

Belangrijkste conclusies uit het rapport

Het volledige rapport bevat meer informatie voor organisaties, hun klanten en hun partners over de belangrijkste trends met betrekking tot malware- en netwerkaanvallen. De belangrijkste conclusies uit het WatchGuard kwartaalrapport voor Q2 2020 zijn.

  • Criminelen blijven encryptie inzetten, Zero-day malware maakte onderdeel uit van meer dan twee derde van de in Q2 gedetecteerde aanvallen. Criminelen voerden 34 procent van hun acties uit over versleutelde HTTPS. Bedrijven die niet in staat zijn versleuteld verkeer te inspecteren, missen dus een derde van het inkomende kwaadaardige verkeer. Het percentage dreigingen die encryptie inzetten is weliswaar gedaald en maakte in Q1 64 procent van het totaal uit. Maar het malware-volume uitgestuurd via HTTPS-verkeer is sterk gestegen. Beheerders lijken de functie voor HTTPS-inspectie gevonden te hebben op hun Firebox-appliances, maar verdere maatregelen lijken absoluut nodig.
  • Meer aanvallen met JavaScript – In Q2 bereikte een kwaadaardig script met de naam Trojan.Gnaeus de top-10 in de malware lijst van WatchGuard. Dit script komt terug in bijna een op de vijf malware detecties. Met Gnaeus leiden hackers browser verkeer van het slachtoffer om naar een van hun eigen domeinen. Een andere veelvoorkomende JavaScript-aanval is J.S. PopUnder. Hierbij scant een verborgen script het systeem van het slachtoffer en blokkeert het detectie pogingen. Om dit soort aanvallen tegen te gaan, dienen organisaties browserextensies van onbekende bronnen te blokkeren, de nieuwste patches voor browsers toe te passen, betrouwbare ad blockers in te zetten, en hun antimalware-engine geüpdatet te houden.

Top 10 Gateway AntiVirus Malware Detecties

Ranglijst Naam dreiging Soort Aantal
1 Trojan.Gnaeus Scam Script 3.454.619
2 Win32/Heri Win Code Injection 1.911.649
3 Win32/Heim.D Win Code Injection 1.790.468
4 Trojan.Cryxos (varianten) Scam File 1.386.438
5 Trojan.Cryxos (varianten) Generic Win32 686.630
6 CVE-2017-11882 Office Exploit 637.206
7 XLM.Trojan.Abracadabra Win Code Injection 581.456
8 Razy Cryptominer/ Win Code Injection 269.159
9 Linux.GenericA (Aircrack) WiFi Attack Tool 268.464
10 RTF-ObfsStrm Office Exploit 251.360
  • Malware verstopt in versleutelde Excel bestanden. Een andere nieuwe binnenkomer in de top-10 van WatchGuard is XML-Trojan.Abracadabra. Deze malware variant neemt sinds april in populariteit toe en is verstopt in een Excel bestand dat is versleuteld met het wachtwoord ‘Velvet Sweatshop’, het standaardwachtwoord voor dergelijke documenten. Excel voert na opening van het bestand een macro VBA-script uit als executable. Door deze versleuteling omzeilt Abracadabra de meeste antivirus oplossingen. Daarom moeten organisaties macro’s van een onbekende bron altijd blokkeren en sandboxing in de cloud toepassen om de daadwerkelijke aard van dit soort bestanden vast te stellen.
  • Klassieke DoS-aanvallen maken een comeback. Een zes jaar oude Denial-of-Service (DoS)-aanval op WordPress en Drupal is tijdens het tweede kwartaal in de top-10 van netwerkaanvallen terechtgekomen. Iedere niet-gepatchte installatie van Drupal en WordPress is kwetsbaar voor deze zeer ernstige aanval. Kwaadwilligen leggen hiermee de CPU-kracht en geheugen van de onderliggende hardware plat. Het aantal aanvallen lag hoog, maar was vooral geconcentreerd op enkele tientallen netwerken, met name in Duitsland. Omdat DoS-scenario’s vragen om constant verkeer richting het slachtoffer, is het zeer waarschijnlijk dat criminelen hun doelen bewust uitkiezen.
  • Malware domeinen zaaien chaos met command and control servers.Twee nieuwe domeinen zijn in Q2 in de WatchGuard top-10 malware domeinen verschenen. De meest gebruikte is findresults.site. Deze zet een C&C-server in voor een trojan-variant van Dadobra. Bij het opstarten van Windows creëert de trojan een verborgen bestand met bijbehorende registry voor het naar buiten sluizen van data en het downloaden van aanvullende malware. WatchGuard kreeg ook bericht van een gebruiker over Cioco-froll.com. Dit roept een andere C&C-server aan die een – vaak als PDF – verborgen variant van het Asprox-botnet ondersteunt. Een C&C-baken laat de aanvaller weten dat het systeem aan het botnet kan worden toegevoegd. Detectie en blokkade van deze dreiging kan met DNS-firewalling, ongeacht het applicatieprotocol.

Malwaredetectie per regio

Top 10 Netwerkaanvallen

Ranglijst Type aanval Naam Aantal
1 Webaanval WEB SQL injection attempt -33 636.092
2 Webaanval WEB Brute Force Login -1.1021 286.828
3 Toegangscontrole WEB Cross-site Scripting -36 190.358
4 Webaanval WEB Remote File Inclusion /etc/passwd 63.627
5 Webaanval WEB Directory Traversal -4 59.946
6 DDoS aanval RPC Drupal Core XML-RPC 47.935
Endpoint xmlrpc.php Tags Denial
Service -1 CVE-2014-5266
7 Webaanval WEB Cross-site Scripting -9 47.335
8 Webaanval WEB SQL Injection Attempt -4 25.038
9 Webaanval WEB Local File Inclusion win.ini-1.u 24.956
10 Bufferoverloop WEB Nginx ngx_http_parse_ 24.365
Chunked Buffer Overflow -1
CVE-2013-2028

Uit anonieme data

De kwartaalrapporten van WatchGuard zijn gebaseerd op anonieme data uit de Firebox Feed. Deze data worden geleverd door WatchGuard-appliances waarvan de eigenaren toestemming hebben gegeven om gegevens te delen. Bijna 42.000 appliances leverden data voor Q2, waardoor meer dan 28,5 miljoen malwarevarianten zijn geïdentificeerd (gemiddeld 684 per apparaat) en 1.75 miljoen netwerkdreigingen (42 per apparaat). In totaal zijn in het tweede kwartaal 410 unieke aanvallen verzameld. Dat is een toename van 15 procent ten opzichte van het eerste kwartaal van dit jaar, en het hoogste aantal sinds het vierde kwartaal van 2018.

Het volledige rapport bevat informatie voor organisaties en biedt advies over de te volgen strategie en best practices ter bescherming. Tot slot bevat het onderzoek een diepgravende analyse van een recent datalek veroorzaakt door hackers collectief ShinyHunters.

WG Threat Report Q 2 2020
PDF – 8,8 MB 444 downloads

Bron: watchguard.com, emerce.nl