Zscaler analyseert de nieuwste bestandsloze malware-campagnes

Amsterdam – Beveiligingsanalisten van het Zscaler-ThreatlabZ-team hebben de nieuwste campagnes geanalyseerd die gebruikmaken van bestandsloze malware-aanvallen. Net zoals criminelen kunnen worden gepakt door vingerafdrukken of DNA op de plaats delict, laten hackers ook sporen achter op geﮦecteerde systemen. Om het bewijs van hun aanvallen te verbloemen, hebben cybercriminelen bestandsloze malware ontwikkeld. Deze schadelijke softwarevariant bestaat slechts als een artefact op het computergeheugen. De infectie of malware plaatst geen uitvoerbare bestanden op de harde schijf van het geﮦecteerde systeem om de detectie van de aanval zo lang mogelijk te verbergen.

In de afgelopen jaren is de bestandsloze infectie door verschillende vormen van malware en Advanced Persistent Threats (APT’s) gebruikt. Hierbij worden verschillende technieken gebruikt om de uiteindelijke payload af te leveren. Zo verbergt de Kovter Trojan de payload in het Windows-register en injecteerde de Hancitor Trojan zijn shell-code in een Word Document Macro. Onlangs is een nieuwe golf van bestandsloze infectietechnieken gedetecteerd die legitieme applicaties op het apparaat van het slachtoffer gebruikten.

ThreatLabZ-analisten presenteren drie concrete scenario’s van hoe aanvallers bestandloze malware verbergen die geen sporen achterlaat op schijven, waardoor detectie en verwijdering moeilijk zijn. E鮠manier voert via de achterdeur van njRAT. Hoewel deze al lang bekend is, wordt het specifiek voor die aanvallen gebruikt als gateway. Daarbij wordt een phishing-e-mail verzonden met een geﮦecteerd docx-bestand dat na het openen automatisch de meerfasen-infectiecyclus start, zoals geשּׁustreerd in onderstaande figuur:

Daarnaast is de bekende Sodinokibi-ransomware (ook wel REvil genoemd) opnieuw actief en zet deze keer bestandsloze malware in. Ook hier wordt een phishing-e-mail verzonden, maar deze bevat een geﮦecteerd BAT-bestand met een PowerShell-script. Nadat erop is geklikt, wordt de infectiecyclus gestart door een tweede Powershell-script te downloaden, zoals hieronder wordt weergegeven:

De derde manier die het ThreatLabZ-team demonstreert, is de achterdeur van de Astaroth Trojan die als geheime toegang tot bestandsloze malwarecampagnes dient. De Trojan van Astaroth steelt bij voorkeur accountinformatie, leest toetsaanslagen en verzamelt systeeminformatie. Bij de bestandsloze techniek vormt een phishing-mail de voorbereiding op de aanval. Deze keer bevat deze een frauduleus LNK-bestand, dat de cyclus start en via een XSL-bestand met een geﮦecteerd Java-script wordt uitgevoerd. Alle drie de beschreven technieken hebben gemeen dat ze afhankelijk zijn van bekende applicaties, zoals PowerShell en Windows Management Instrumentation (WMI).

Omdat dit soort malware-campagnes moeilijk zijn te herkennen, volgen ThreatLabZ-analisten voortdurend de evolutie van de leveringstechnieken binnen meerdere bronnen om Zscaler Security Cloud up-to-date te houden.

Meer technische informatie is te vinden in deze Zscaler ThreatLabZ-blog: https://www.zscaler.com/blogs/research/fileless-malware-campaign-roundup