Novo shvatanje malware-a bez datoteka: zlonamerni kod u evidenciji prijava

U nedavnoj istrazi, stručnjaci kompanije Kaspersky otkrili su prepoznatljivu ciljanu malware kampanju. Ova aktivnost se ističe zbog inovativne upotrebe Windows evidencije prijava (event logs) za skladištenje malware-a, kao i impresivne raznovrsnosti tehnika koje napadači koriste, kao što su komercijalni paketi za pentestiranje i omoti protiv detekcije – uključujući i one u kombinaciji sa Go. Nekoliko Trojanaca za poslednje faze se koriste tokom kampanje.

Stručnjaci kompanije Kaspersky su otkrili ciljanu kampanju zlonamernog softvera (malware) koja koristi jedinstvenu tehniku, skrivajući malware bez datoteka unutar Windows event log-a. Početna infekcija sistema izvršena je preko dropper modula iz arhive koju je preuzela žrtva. Napadač je koristio razne, do sada neviđene, omote protiv detekcije da bi Trojanci bili manje vidljivi. Da bi se izbeglo otkrivanje u budućnosti, neki moduli su potpisani digitalnim sertifikatom.

Napadači su koristili dve vrste Trojanaca za poslednju fazu koji su korišćeni za dobijanje daljeg pristupa sistemu, dok su se komande sa kontrolnih servera isporučuju na dva načina: preko HTTP mrežne komunikacije i angažovanja primenih kanala. Neke verzije Trojanaca uspele su da koriste command system koji sadrži desetine komandi iz C2.

Kampanja je uključivala i komercijalne alate za pentestiranje, konkretno SilentBreak i CobaltStrike. Kombinovane su dobro poznate tehnike sa prilagođenim dešifratorima i prvim primećenim korišćenjem Windows evidencije pristupa za skrivanje shell kodova u sistemu.

- Bili smo svedoci nove tehnike ciljanog malware-a koja nam je privukla pažnju. Za napad, akter je zadržao, a zatim izvršio šifrovani shell kod iz Windows event logs-a. Ovakav pristup nikada ranije nismo videli što naglašava koliko je važno da budete svesni pretnji koje bi vas mogle zateći nespremne. Verujemo da je vredno dodati tehniku evidencije pristupa u odeljak "izbegavanje odbrane" matrice MITRE u njen "hide artifacts" deo - kaže Denis Legezo, vodeći istraživač bezbednosti u kompaniji Kaspersky. – Korišćenje nekoliko komercijalnih paketa za pantestiranje se ne viđa svaki dan.

Da biste saznali više o tehnici event logs, posetite Securelist.com

Da biste se zaštitili od malware-a bez datoteka i sličnih pretnji, Kaspersky preporučuje:

• Korišćenje pouzdanog endpoint bezbednosnog rešenja. Namenska komponenta u Kaspersky Endpoint bezbednosnom rešenju za poslovanja može da otkrije anomalije u ponašanju datoteka i otkrije bilo kakvu aktivnost malware-a bez datoteka.
• Instaliranje anti-APT i EDR rešenja, omogućava otkrivanje pretnji, istragu i blagovremeno otkrivanje incidenata. Pored toga, obezbedite svom SOC timu pristup najnovijim obaveštajnim podacima o pretnjama i redovno ih usavršavajte profesionalnom obukom. Sve ovo je dostupno u okviru Kaspersky Expert Security.
• Integrisanje odgovarajuće zaštite krajnjih tačaka i namenskih usluga koje mogu pomoći u zaštiti od napada visokog profila. Usluga Kaspersky Managed Detection and Response može pomoći u identifikaciji i zaustavljanju napada u njihovim ranim fazama, pre nego što napadači postignu svoje ciljeve.

O kompaniji Kaspersky

Kaspersky je globalna kompanije za sajber bezbednost i digitalnu privatnost osnovana 1997. godine. Inteligencija o pretnjama i bezbednosna ekspertiza kompanije Kaspersky se konstantno transformišu u inovativna bezbednosna rešenja i usluge za zaštitu preduzeća, kritične infrastrukture, vlada i potrošača širom sveta. Sveobuhvatni bezbednosni portfolio kompanije uključuje vodeću endpoint zaštitu i niz specijalizovanih bezbednosnih rešenja i usluga za borbu protiv sofisticiranih i digitalnih pretnji koje se razvijaju. Preko 400 miliona korisnika zaštićeno je Kaspersky tehnologijama i pomažemo 240.000 korporativnih klijenata da zaštite ono što ih je najvažnije. Saznajte više na www.kaspersky.com.

Kaspersky

Kaspersky

Denis Legezo

bezbednost na internetu

malware

malver

trojanci

sajber bezbednost

zlonamerni softver

tehnika event logs

digitalne pretnje

zlonamerni kod

SilentBreak

CobaltStrike

Windows evidencija prijava

digitalni sertifikat

datoteke