Cybercriminelen doorbreken beveiliging via ’onzichtbare’ aanvallen

Deskundigen van Kaspersky Lab hebben een reeks van 'onzichtbare' gerichte aanvallen ontdekt, die uitsluitend legitieme software gebruiken.

Trefwoorden: #cyberattack, #cybercrime, #hacker, #ICT, #Kaspersky Lab, #malware, #spyware

Lees verder

Nieuws

ENGINEERINGNET - Hierbij gaat het om op grote schaal beschikbare penetratie-testsoftware en beheertools, evenals het PowerShell framework voor taakautomatisering in Windows.

De methode plaatst geen malwarebestanden op de harde schijf, maar verbergt deze in het geheugen. Deze gecombineerde aanpak helpt detectie door whitelisting-technologieën te voorkomen, en geeft forensische onderzoekers vrijwel geen artefacten of malware samples om mee te werken.

De aanvallers blijven net lang genoeg aanwezig om informatie te verzamelen voordat hun sporen bij de eerstvolgende reboot worden gewist uit het systeem.

Eind 2016 werden experts van Kaspersky Lab gecontacteerd door banken in CIS. Deze hadden de penetratie-testsoftware Meterpreter, tegenwoordig vaak gebruikt voor kwaadaardige doeleinden, in het geheugen van hun servers aangetroffen terwijl deze daar niet had moeten zijn.

De experts ontdekten dat de Meterpreter-code werd gecombineerd met een aantal legitieme PowerShell-scripts en andere hulpprogramma's. De gecombineerde tools waren aangepast tot kwaadaardige code die zich kon verbergen in het geheugen.

Van hieruit verzamelden ze onopgemerkt de wachtwoorden van systeembeheerders, zodat de aanvallers op afstand controle kregen over de systemen van hun slachtoffers. Het uiteindelijke doel lijkt toegang tot financiële processen te zijn geweest.

Deze aanvallen hebben op grote schaal plaatsgevonden: meer dan 140 bedrijfsnetwerken in een reeks sectoren werden getroffen, met de meeste slachtoffers in de Verenigde Staten, Frankrijk, Ecuador, Kenia, het Verenigd Koninkrijk en Rusland.

Het is niet bekend wie er achter de aanslagen zitten. Het gebruik van open source exploit code, veelvoorkomende Windows-hulpprogramma's en onbekende domeinen maakt het vrijwel onmogelijk om de verantwoordelijke groep te bepalen. Bekende groepen die de meest soortgelijke aanpak hanteren zijn GCMAN en Carbanak.

Dergelijke tools maken het ook lastiger om de details van een aanval aan het licht te brengen. De normale procedure voor een onderzoeker als reactie op een incident is het volgen van de door de aanvallers in het netwerk achtergelaten sporen en samples.

Waar gegevens op een harde schijf wel een jaar na een gebeurtenis beschikbaar kunnen blijven, zullen artefacten in het geheugen bij de eerste reboot van de computer worden gewist. Gelukkig waren de deskundigen er in dit geval op tijd bij.

De aanvallers zijn nog steeds actief, dus het is belangrijk om op te merken dat de detectie van een dergelijke aanval alleen mogelijk is in het RAM, het netwerk en het register.

Daarom heeft in dergelijke gevallen het gebruik van Yara-regels op basis van een scan van schadelijke bestanden geen zin.


(infographics: Kaspersky Lab)