Fileless malware
'Fileless-malware' is een type malware (schadelijke software) dat verschilt van vele andere malware bedreigingen.
Waarom?
Cybercriminelen zoeken vaak naar manieren om kwaadaardige bestanden op uw computer te installeren. Maar voor een fileless-malware aanval is dat niet nodig. In plaats daarvan is fileless-malware "geniepiger". Het activeert tools, software en applicaties die al in uw besturingssysteem aanwezig zijn, waarna de malware zich vervolgens verbergt in uw systeem.
Fileless-malware lift mee op legitieme scripts door kwaadaardige activiteiten uit te voeren terwijl de legitieme programma's blijven draaien. Fileless-malware kan onopgemerkt blijven omdat het op geheugen is gebaseerd en niet op bestanden. Antivirussoftware werkt vaak met andere soorten malware omdat het de traditionele 'voetafdrukken' van een handtekening detecteert. Daarentegen laat fileless-malware geen voetafdrukken achter die antivirusproducten kunnen detecteren.
Hoe werkt het?
Fileless-malware kan effectief zijn in zijn kwaadaardige activiteit omdat het zich al in uw systeem verbergt en geen schadelijke software of bestanden als toegangspunt hoeft te gebruiken. Deze heimelijkheid maakt het zo uitdagend om fileless-malware te detecteren en stelt het in staat uw systeem te beschadigen zolang het verborgen blijft.
Hieronder volgen enkele scenario's waarin fileless-malware de software toepassingen en protocollen van uw systeem kan gebruiken om kwaadaardige activiteiten te installeren en uit te voeren.
-
Phishing-e-mails, schadelijke downloads en links die er legitiem uitzien als toegangspunten.
Wanneer u op deze links klikt, worden ze in het geheugen van uw pc geladen, waardoor hackers op afstand codes kunnen laden via scripts die uw vertrouwelijke gegevens vastleggen en delen.
-
Applicaties die u al heeft geïnstalleerd, zoals Microsoft Word of JavaScript.
Schadelijke code kan worden geïnjecteerd in reeds geïnstalleerde, vertrouwde applicaties, die vervolgens kunnen worden gekaapt en uitgevoerd.
-
Native en zeer vertrouwde applicaties zoals Windows Management Instrumentation (WMI) en Microsoft PowerShell.
Fileless-malware richt zich op afstand op deze legitieme programma's. Dat kan het voor beveiligingsprogramma's en analisten uitdagender maken. In het geval van PowerShell-aanvallen bijvoorbeeld integreert fileless-malware kwaadaardige scripts in legitieme PowerShell-scripts - die in wezen meegaan terwijl het normale processen uitvoert.
-
Laterale infiltratie.
Wat deze aanvallen meer wijdverspreid maakt zijn tools zoals Microsoft PowerShell, die kunnen worden gebruikt om meerdere machines te infiltreren.
-
Legitiem ogende websites die eigenlijk kwaadaardig zijn.
Cybercriminelen kunnen frauduleuze websites maken die zijn ontworpen om eruit te zien als legitieme bedrijfspagina's of websites. Wanneer gebruikers deze pagina's bezoeken, zoeken de websites naar kwetsbaarheden in de Flash-plug-in, waardoor kwaadaardige code in het browser geheugen kan worden uitgevoerd.
De sleutel is dat fileless-malware niet op de schijf wordt geschreven zoals traditionele malware. In plaats daarvan wordt fileless-malware rechtstreeks naar het RAM-geheugen geschreven - random access memory - dat de traditionele sporen van zijn bestaan niet achterlaat.
Maar er is meer. Dit type malware werkt in het geheugen en wordt beëindigd wanneer uw systeem opnieuw wordt opgestart. Dit voegt een nieuwe uitdaging toe aan het forensisch onderzoek dat u zou helpen erachter te komen wat er is gebeurd en waar u op moet letten om toekomstige aanvallen te voorkomen.
Soorten fileless-malware aanvallen
Er zijn drie hoofdcategorieën van fileless-malware aanvallen.
Manipulatie van het Windows-register
Bij manipulatie van het Windows-register wordt een schadelijk bestand of een schadelijke koppeling gebruikt die wanneer erop wordt geklikt een normaal Windows-proces gebruikt om fileless code in het register te schrijven en uit te voeren.
Voorbeelden hiervan zijn 'Kovter' en 'Powelike' die uw geïnfecteerde systeem in een 'klik bot' kunnen veranderen door verbinding te maken met websites en door klik advertenties.
Geheugencode-injectie
Bij technieken voor het injecteren van geheugencodes wordt schadelijke code in het geheugen van legitieme toepassingen verborgen. Terwijl processen worden uitgevoerd die van cruciaal belang zijn voor Windows-activiteit, verspreidt deze malware zich en wordt deze opnieuw geïnjecteerd in deze processen.
Deze fileless-malware aanvallen maken gebruik van bekende kwetsbaarheden in browsers en programma's zoals Java en Flash, en phishing-campagnes om toegang te krijgen tot en code uit te voeren in het geheugen van de doelcomputer.
De grootste uitdaging bij fileless-malware is detectie. Fileless-malware aanvallen gebruiken legitieme Windows-programma's zoals PowerShell en MWI, dus wordt aangenomen dat opdrachten die door deze standaardprogramma's worden uitgevoerd, legitiem en veilig zijn.
Dat komt omdat fileless-malware aanvallen niet de traditionele rode vlaggen of witte lijsten activeren - ze zien eruit als een programma dat zou moeten draaien.
Dit kan lastig zijn voor bedrijven. U kunt werknemers niet verbieden deze programma's te gebruiken zoals u zou kunnen met andere mogelijk schadelijke programma's omdat ze vaak in de dagelijkse activiteiten zijn geïntegreerd.
Hier is een voorbeeld van hoe kwaadwillende PowerShell detectie kan omzeilen. PowerShell heeft een zeer vertrouwde handtekening die geen rode vlaggen zal oproepen. De malware glijdt door beveiligingsscans omdat het rechtstreeks in het systeemgeheugen wordt geladen en vrij spel kan hebben over het besturingssysteem.
Script-gebaseerde technieken
Script gebaseerde technieken zijn misschien niet volledig fileless, maar ze kunnen moeilijk te detecteren zijn.
Twee voorbeelden zijn 'SamSam-ransomware' en 'Operation Cobalt Kitty'. Beide zijn malware aanvallen die technieken van veelvoorkomende fileless-malware aanvallen gebruikten (hierboven beschreven).
- SamSam ransomware
SamSam wordt als semi-fileless beschouwd. Terwijl bestanden worden gebruikt, kan de payload niet worden geanalyseerd zonder het eerste script. Dat komt doordat de payload van de ransomware run-time wordt gedecodeerd, waardoor het moeilijk is om een voorbeeld van de payload code te vinden. De enige manier om een monster vast te leggen om te analyseren, is door getuige te zijn van de aanval terwijl deze plaatsvindt.
SamSam is constant in ontwikkeling, waardoor aanvallen als deze moeilijk te detecteren en te beschermen zijn.
Bovendien vereist SamSam de betrokkenheid van de maker om een wachtwoord in te voeren. Dat betekent dat het zich niet automatisch kan verspreiden zoals andere malware. De maker moet zijn wachtwoord invoeren om de payload, of de code voor het decoderen van de schijf, uit te voeren. Dit maakt het uniek in zijn gebruik voor gerichte aanvallen met één doel.
- Operatie Cobalt Kitty
Operatie Cobalt Kitty is een voorbeeld van een fileless aanval waarbij kwaadwillende PowerShell gedurende bijna 6 maanden op een Aziatisch bedrijf was gericht. Een spear-phishing-e-mail werd gebruikt om meer dan 40 pc's en servers te infiltreren.
Hoe beschermen en waar op te letten
Er is geen eenvoudig virus definitiebestand of allesomvattende antivirusprogramma om u te beschermen tegen fileless-malware aanvallen.
Verouderde antivirus oplossingen waarop ooit werd vertrouwd kunnen de klus niet meer klaren. Eindpunt beveiligingsoplossingen van de volgende generatie worden ontwikkeld en zullen moeten worden geïmplementeerd.
Deze zogenaamde Endpoint Detection and Response (EDR) -oplossingen zijn gebaseerd op continue, realtime monitoring van phishing-e-mails, inkomend en uitgaand netwerkverkeer en ongewenste taken in bewerkingen zoals WMI en PowerShell.
Deze fileless-malware aanvallen zijn vaak afhankelijk van menselijke kwetsbaarheid, wat betekent dat analyse en detectie van gebruikers- en systeemgedrag centraal zal staan in de beveiliging. De belangrijkste best practices op individueel niveau zijn:
Naast gedragsanalyse omvatten beveiligingsoplossingen ook geheugenanalyse en -bescherming samen met het delen van informatie.
Streaming technologie en eindpunt beveiliging omvatten het monitoren hoe de ene individuele gebeurtenis tot de andere leidt. Op deze manier kunnen beveiligingsonderzoekers vanaf het begin proberen erachter te komen wat de gebeurtenis heeft veroorzaakt.
Deze aanpak is afhankelijk van de cloud vanwege de grote hoeveelheid gegevens die wordt gecreëerd. Van daaruit kunnen verschillende technieken worden gebruikt om naar deze gebeurtenis stromen te kijken, risico's te bepalen en preventiebeleid te formuleren om toekomstige aanvallen te blokkeren.
Dus hoewel fileless-malware "bestandsloos" is, is het niet volledig immuun voor analyse. Het vereist complexe technieken om erachter te komen hoe cybercriminelen de malware hebben uitgevoerd.
Het goede nieuws? Deze technieken zullen verder worden ontwikkeld om mogelijk te helpen bij het aanpakken van fileless-malware aanvallen.