Bedrijven getroffen door ‘onzichtbare’ aanvallen
Deskundigen van Kaspersky Lab hebben een reeks van ‘onzichtbare’ gerichte aanvallen ontdekt die uitsluitend legitieme software gebruiken. Hierbij gaat het om op grote schaal beschikbare penetratie-testsoftware en beheertools, evenals het PowerShell framework voor taakautomatisering in Windows.
De methode plaatst geen malwarebestanden op de harde schijf, maar verbergt deze in het geheugen. Deze gecombineerde aanpak helpt detectie door whitelisting-technologieën te voorkomen, en geeft forensische onderzoekers vrijwel geen artefacten of malware samples om mee te werken. De aanvallers blijven net lang genoeg aanwezig om informatie te verzamelen voordat hun sporen bij de eerstvolgende reboot worden gewist uit het systeem.
Kwaadaardige code
Eind 2016 werden experts van Kaspersky Lab gecontacteerd door banken in CIS. Deze hadden de penetratie-testsoftware Meterpreter, tegenwoordig vaak gebruikt voor kwaadaardige doeleinden, in het geheugen van hun servers aangetroffen terwijl deze daar niet had moeten zijn. Kaspersky Lab ontdekte dat de Meterpreter-code werd gecombineerd met een aantal legitieme PowerShell-scripts en andere hulpprogramma’s. De gecombineerde tools waren aangepast tot kwaadaardige code die zich kon verbergen in het geheugen. Van hieruit verzamelden ze onopgemerkt de wachtwoorden van systeembeheerders, zodat de aanvallers op afstand controle kregen over de systemen van hun slachtoffers. Het uiteindelijke doel lijkt toegang tot financiële processen te zijn geweest.
Grote schaal
Kaspersky Lab heeft inmiddels ontdekt dat deze aanvallen op grote schaal hebben plaatsgevonden: meer dan 140 bedrijfsnetwerken in een reeks sectoren werden getroffen, met de meeste slachtoffers in de Verenigde Staten, Frankrijk, Ecuador, Kenia, het Verenigd Koninkrijk en Rusland. Het is niet bekend wie er achter de aanslagen zitten. Het gebruik van open source exploit code, veelvoorkomende Windows-hulpprogramma’s en onbekende domeinen maakt het vrijwel onmogelijk om de verantwoordelijke groep te bepalen – of zelfs of het om een enkele groep gaat, of diverse groepen die dezelfde tools delen. Bekende groepen die de meest soortgelijke aanpak hanteren zijn GCMAN en Carbanak.
Dergelijke tools maken het ook lastiger om de details van een aanval aan het licht te brengen. De normale procedure voor een onderzoeker als reactie op een incident is het volgen van de door de aanvallers in het netwerk achtergelaten sporen en samples. Waar gegevens op een harde schijf wel een jaar na een gebeurtenis beschikbaar kunnen blijven, zullen artefacten in het geheugen bij de eerste reboot van de computer worden gewist. Gelukkig waren de deskundigen er in dit geval op tijd bij.
Nieuwste trend
“Het voornemen van aanvallers om hun activiteiten te verbergen en de detectie van en reacties op incidenten steeds moeilijker te maken, verklaart de nieuwste trend in anti-forensische technieken en geheugengebaseerde malware. Daarom wordt forensisch geheugenonderzoek cruciaal voor de analyse van malware en zijn functies. In het geval van deze specifieke incidenten gebruikten de aanvallers elke denkbare anti-forensische techniek; waarbij ze aantoonden dat er geen malwarebestanden nodig zijn voor succesvolle exfiltratie van gegevens van een netwerk, en hoe het gebruik van legitieme en open source hulpprogramma’s toeschrijving vrijwel onmogelijk maakt”, aldus Sergey Golovanov, Principal Security Researcher bij het Global Research and Analysis Team van Kaspersky Lab.
De aanvallers zijn nog steeds actief, dus het is belangrijk om op te merken dat de detectie van een dergelijke aanval alleen mogelijk is in het RAM, het netwerk en het register. Daarom heeft in dergelijke gevallen het gebruik van Yara-regels op basis van een scan van schadelijke bestanden geen zin.
Details van het tweede deel van de operatie, waarin wordt getoond hoe de aanvallers unieke tactieken implementeerden om geld op te nemen via geldautomaten, worden door Sergey Golovanov en Igor Soumenkov gepresenteerd tijdens de Security Analyst Summit, van 2 tot 6 april 2017.