Zo gaan de nieuwste bestandsloze malware-campagnes te werk
Net zoals criminelen kunnen worden gepakt door vingerafdrukken of DNA op de plaats delict, laten hackers ook sporen achter op geïnfecteerde systemen. Om het bewijs van hun aanvallen te verbloemen, hebben cybercriminelen bestandsloze malware ontwikkeld. Deze schadelijke softwarevariant bestaat slechts als een artefact op het computergeheugen. De infectie of malware plaatst geen uitvoerbare bestanden op de harde schijf van het geïnfecteerde systeem om de detectie van de aanval zo lang mogelijk te verbergen. Verschillende nieuwe campagnes, die gebruikmaken van bestandsloze malware-aanvallen, zijn geanalyseerd door het Zscaler-ThreatlabZ-team.
Door weinig sporen achter te laten, proberen malware-auteurs de detectie door beveiligingsleveranciers zo lang mogelijk uit te stellen.
In de afgelopen jaren is het gebruik van bestandsloze infecties overgenomen door tal van vormen van malware en geavanceerde aanhoudende bedreigingen (APT's). Deze fileless-infectieketens kunnen meerdere technieken gebruiken om de uiteindelijke nuttige lading te leveren. In één voorbeeld heeft de Kovter Trojan de lading in een Windows-register opgeslagen. De Hancitor Trojan schreef een lading in het holle proces voortgebracht door shellcode geïnjecteerd vanuit een Word-documentmacro in een Microsoft Word-proces.
De laatste tijd zien we een toename van de technieken voor bestandsloze infecties die gebruik maken van legitieme applicaties die beschikbaar zijn op de machine van het slachtoffer. Deze technieken zijn niet afhankelijk van het opslaan van uitvoerbare bestanden en laten geen directe sporen achter op schijven, waardoor detectie en verwijdering een uitdaging vormen. In deze blog bespreken we de recente malwarecampagnes die bestandsloze infectiemechanismen hebben gebruikt die legitieme toepassingen gebruiken.
Drie scenario's
ThreatLabZ-analisten presenteren drie concrete scenario's van hoe aanvallers bestandloze malware verbergen die geen sporen achterlaat op schijven, waardoor detectie en verwijdering moeilijk zijn. Eén manier voert via de achterdeur van njRAT. Hoewel deze al lang bekend is, wordt het specifiek voor die aanvallen gebruikt als gateway. Daarbij wordt een phishing-e-mail verzonden met een geïnfecteerd docx-bestand dat na het openen automatisch de meerfasen-infectiecyclus start.
Daarnaast is de bekende Sodinokibi-ransomware (ook wel REvil genoemd) opnieuw actief en zet deze keer bestandsloze malware in. Ook hier wordt een phishing-e-mail verzonden, maar deze bevat een geïnfecteerd BAT-bestand met een PowerShell-script. Nadat erop is geklikt, wordt de infectiecyclus gestart door een tweede Powershell-script te downloaden.
De derde manier die het ThreatLabZ-team demonstreert, is de achterdeur van de Astaroth Trojan die als geheime toegang tot bestandsloze malwarecampagnes dient. De Trojan van Astaroth steelt bij voorkeur accountinformatie, leest toetsaanslagen en verzamelt systeeminformatie. Bij de bestandsloze techniek vormt een phishing-mail de voorbereiding op de aanval. Deze keer bevat deze een frauduleus LNK-bestand, dat de cyclus start en via een XSL-bestand met een geïnfecteerd Java-script wordt uitgevoerd. Alle drie de beschreven technieken hebben gemeen dat ze afhankelijk zijn van bekende applicaties, zoals PowerShell en Windows Management Instrumentation (WMI).
Conclusie
Campagnes zonder infectie zijn moeilijk te detecteren. Dat is de reden waarom het Zscaler ThreatLabZ-team voortdurend mechanismen voor malwarelevering uit verschillende bronnen bewaakt om ervoor te zorgen dat Zscaler-klanten worden beschermd.
BRON: zscaler
SCHRIJVER: BiG’r