Zo gaan de nieuwste bestandsloze malware-campagnes te werk

16-11-2019 | door: Wouter Hoeffnagel

Zo gaan de nieuwste bestandsloze malware-campagnes te werk

Net zoals criminelen kunnen worden gepakt door vingerafdrukken of DNA op de plaats delict, laten hackers ook sporen achter op geïnfecteerde systemen. Om het bewijs van hun aanvallen te verbloemen, hebben cybercriminelen bestandsloze malware ontwikkeld. Deze schadelijke softwarevariant bestaat slechts als een artefact op het computergeheugen. De infectie of malware plaatst geen uitvoerbare bestanden op de harde schijf van het geïnfecteerde systeem om de detectie van de aanval zo lang mogelijk te verbergen. Verschillende nieuwe campagnes geanalyseerd die gebruikmaken van bestandsloze malware-aanvallen zijn geanalyseerd door het Zscaler-ThreatlabZ-team.

In de afgelopen jaren is de bestandsloze infectie door verschillende vormen van malware en Advanced Persistent Threats (APT's) gebruikt. Hierbij worden verschillende technieken gebruikt om de uiteindelijke payload af te leveren. Zo verbergt de Kovter Trojan de payload in het Windows-register en injecteerde de Hancitor Trojan zijn shell-code in een Word Document Macro. Onlangs is een nieuwe golf van bestandsloze infectietechnieken gedetecteerd die legitieme applicaties op het apparaat van het slachtoffer gebruikten.

Drie scenario's

ThreatLabZ-analisten presenteren drie concrete scenario's van hoe aanvallers bestandloze malware verbergen die geen sporen achterlaat op schijven, waardoor detectie en verwijdering moeilijk zijn. Eén manier voert via de achterdeur van njRAT. Hoewel deze al lang bekend is, wordt het specifiek voor die aanvallen gebruikt als gateway. Daarbij wordt een phishing-e-mail verzonden met een geïnfecteerd docx-bestand dat na het openen automatisch de meerfasen-infectiecyclus start.

zscaler-bestandsloze-malware-2019.png

Daarnaast is de bekende Sodinokibi-ransomware (ook wel REvil genoemd) opnieuw actief en zet deze keer bestandsloze malware in. Ook hier wordt een phishing-e-mail verzonden, maar deze bevat een geïnfecteerd BAT-bestand met een PowerShell-script. Nadat erop is geklikt, wordt de infectiecyclus gestart door een tweede Powershell-script te downloaden.

zscaler-bestandsloze-malware-2019-2.png

De derde manier die het ThreatLabZ-team demonstreert, is de achterdeur van de Astaroth Trojan die als geheime toegang tot bestandsloze malwarecampagnes dient. De Trojan van Astaroth steelt bij voorkeur accountinformatie, leest toetsaanslagen en verzamelt systeeminformatie. Bij de bestandsloze techniek vormt een phishing-mail de voorbereiding op de aanval. Deze keer bevat deze een frauduleus LNK-bestand, dat de cyclus start en via een XSL-bestand met een geïnfecteerd Java-script wordt uitgevoerd. Alle drie de beschreven technieken hebben gemeen dat ze afhankelijk zijn van bekende applicaties, zoals PowerShell en Windows Management Instrumentation (WMI).

Meer technische informatie is te vinden in deze Zscaler ThreatLabZ-blog.

Terug naar nieuws overzicht

Tags

Security