Beveiligingnieuws Logo

Onze partners

Network Optix

Seagate

SOBA

Hikvision

CSL

i-Pro

Centurion

Bydemes

Connect Security

VAIBS

IDIS

Kiwa

BHVcertificaat.online

Unii

VBN

Sequrix

Regio Control Veldt

Secusoft

CDVI

Dero Security Products

SmartCell

OSEC

VideoGuard

Intrasec

EAL

Avigilon Alta

Top Security

VEB

ASIS

Service Centrale Nederland

ARAS

HD Security

Distri Company

ADI

Advancis

Masset Solutions

Aritech

Add Secure

Ajax Systems

SMC Alarmcentrale

Seris

Securitas

Oribi ID Solutions

MOBOTIX

Nenova

Paxton

PG Security Systems

Uniview

G4S

Trigion

Optex

NIBHV

Milestone

Hanwha Vision Europe

Brivo

2N

VVNL

Traka ASSA ABLOY

Alarm Meldnet

ASSA ABLOY

Gold-IP

Eagle Eye Networks

Multiwacht

Bosch Security Systems

HID

Genetec

Lobeco

Eizo

Alphatronics

Paraat

SmartSD

NetworxConnect

Crown Security Services

Akuvox

Bedrijven getroffen door ‘onzichtbare’ aanvallen

9 februari 2017
Redactie
09:07

Deskundigen van Kaspersky Lab hebben een reeks van ‘onzichtbare’ gerichte aanvallen ontdekt die uitsluitend legitieme software gebruiken. Hierbij gaat het om op grote schaal beschikbare penetratie-testsoftware en beheertools, evenals het PowerShell framework voor taakautomatisering in Windows.

De methode plaatst geen malwarebestanden op de harde schijf, maar verbergt deze in het geheugen. Deze gecombineerde aanpak helpt detectie door whitelisting-technologieën te voorkomen, en geeft forensische onderzoekers vrijwel geen artefacten of malware samples om mee te werken. De aanvallers blijven net lang genoeg aanwezig om informatie te verzamelen voordat hun sporen bij de eerstvolgende reboot worden gewist uit het systeem.

Kwaadaardige code
Eind 2016 werden experts van Kaspersky Lab gecontacteerd door banken in CIS. Deze hadden de penetratie-testsoftware Meterpreter, tegenwoordig vaak gebruikt voor kwaadaardige doeleinden, in het geheugen van hun servers aangetroffen terwijl deze daar niet had moeten zijn. Kaspersky Lab ontdekte dat de Meterpreter-code werd gecombineerd met een aantal legitieme PowerShell-scripts en andere hulpprogramma’s. De gecombineerde tools waren aangepast tot kwaadaardige code die zich kon verbergen in het geheugen. Van hieruit verzamelden ze onopgemerkt de wachtwoorden van systeembeheerders, zodat de aanvallers op afstand controle kregen over de systemen van hun slachtoffers. Het uiteindelijke doel lijkt toegang tot financiële processen te zijn geweest.

Grote schaal
Kaspersky Lab heeft inmiddels ontdekt dat deze aanvallen op grote schaal hebben plaatsgevonden: meer dan 140 bedrijfsnetwerken in een reeks sectoren werden getroffen, met de meeste slachtoffers in de Verenigde Staten, Frankrijk, Ecuador, Kenia, het Verenigd Koninkrijk en Rusland. Het is niet bekend wie er achter de aanslagen zitten. Het gebruik van open source exploit code, veelvoorkomende Windows-hulpprogramma’s en onbekende domeinen maakt het vrijwel onmogelijk om de verantwoordelijke groep te bepalen – of zelfs of het om een enkele groep gaat, of diverse groepen die dezelfde tools delen. Bekende groepen die de meest soortgelijke aanpak hanteren zijn GCMAN en Carbanak.
Dergelijke tools maken het ook lastiger om de details van een aanval aan het licht te brengen. De normale procedure voor een onderzoeker als reactie op een incident is het volgen van de door de aanvallers in het netwerk achtergelaten sporen en samples. Waar gegevens op een harde schijf wel een jaar na een gebeurtenis beschikbaar kunnen blijven, zullen artefacten in het geheugen bij de eerste reboot van de computer worden gewist. Gelukkig waren de deskundigen er in dit geval op tijd bij.

Nieuwste trend
“Het voornemen van aanvallers om hun activiteiten te verbergen en de detectie van en reacties op incidenten steeds moeilijker te maken, verklaart de nieuwste trend in anti-forensische technieken en geheugengebaseerde malware. Daarom wordt forensisch geheugenonderzoek cruciaal voor de analyse van malware en zijn functies. In het geval van deze specifieke incidenten gebruikten de aanvallers elke denkbare anti-forensische techniek; waarbij ze aantoonden dat er geen malwarebestanden nodig zijn voor succesvolle exfiltratie van gegevens van een netwerk, en hoe het gebruik van legitieme en open source hulpprogramma’s toeschrijving vrijwel onmogelijk maakt”, aldus Sergey Golovanov, Principal Security Researcher bij het Global Research and Analysis Team van Kaspersky Lab.
De aanvallers zijn nog steeds actief, dus het is belangrijk om op te merken dat de detectie van een dergelijke aanval alleen mogelijk is in het RAM, het netwerk en het register. Daarom heeft in dergelijke gevallen het gebruik van Yara-regels op basis van een scan van schadelijke bestanden geen zin.
Details van het tweede deel van de operatie, waarin wordt getoond hoe de aanvallers unieke tactieken implementeerden om geld op te nemen via geldautomaten, worden door Sergey Golovanov en Igor Soumenkov gepresenteerd tijdens de Security Analyst Summit, van 2 tot 6 april 2017.

Deel dit artikel via:

Vlog

Premium partners

Videoguard

Distri Company

SequriX

Suricat

Aritech

Seagate

Wordt een partner