Zscaler analyseert de nieuwste bestandsloze malware-campagnes

| Zscaler | 2 min | 15 november 2019 11:57
Afbeelding: Case 1 - njRat Backdoor | Copyright: Zscaler
Beveiligingsanalisten van het Zscaler-ThreatlabZ-team hebben de nieuwste campagnes geanalyseerd die gebruikmaken van bestandsloze malware-aanvallen. Net zoals criminelen kunnen worden gepakt door vingerafdrukken of DNA op de plaats delict, laten hackers ook sporen achter op geïnfecteerde systemen. Om het bewijs van hun aanvallen te verbloemen, hebben cybercriminelen bestandsloze malware ontwikkeld. Deze schadelijke softwarevariant bestaat slechts als een artefact op het computergeheugen. De infectie of malware plaatst geen uitvoerbare bestanden op de harde schijf van het geïnfecteerde systeem om de detectie van de aanval zo lang mogelijk te verbergen.
 
In de afgelopen jaren is de bestandsloze infectie door verschillende vormen van malware en Advanced Persistent Threats (APT's) gebruikt. Hierbij worden verschillende technieken gebruikt om de uiteindelijke payload af te leveren. Zo verbergt de Kovter Trojan de payload in het Windows-register en injecteerde de Hancitor Trojan zijn shell-code in een Word Document Macro. Onlangs is een nieuwe golf van bestandsloze infectietechnieken gedetecteerd die legitieme applicaties op het apparaat van het slachtoffer gebruikten.
 
ThreatLabZ-analisten presenteren drie concrete scenario's van hoe aanvallers bestandloze malware verbergen die geen sporen achterlaat op schijven, waardoor detectie en verwijdering moeilijk zijn. Eén manier voert via de achterdeur van njRAT. Hoewel deze al lang bekend is, wordt het specifiek voor die aanvallen gebruikt als gateway. Daarbij wordt een phishing-e-mail verzonden met een geïnfecteerd docx-bestand dat na het openen automatisch de meerfasen-infectiecyclus start.

Daarnaast is de bekende Sodinokibi-ransomware (ook wel REvil genoemd) opnieuw actief en zet deze keer bestandsloze malware in. Ook hier wordt een phishing-e-mail verzonden, maar deze bevat een geïnfecteerd BAT-bestand met een PowerShell-script. Nadat erop is geklikt, wordt de infectiecyclus gestart door een tweede Powershell-script te downloaden.

De derde manier die het ThreatLabZ-team demonstreert, is de achterdeur van de Astaroth Trojan die als geheime toegang tot bestandsloze malwarecampagnes dient. De Trojan van Astaroth steelt bij voorkeur accountinformatie, leest toetsaanslagen en verzamelt systeeminformatie. Bij de bestandsloze techniek vormt een phishing-mail de voorbereiding op de aanval. Deze keer bevat deze een frauduleus LNK-bestand, dat de cyclus start en via een XSL-bestand met een geïnfecteerd Java-script wordt uitgevoerd. Alle drie de beschreven technieken hebben gemeen dat ze afhankelijk zijn van bekende applicaties, zoals PowerShell en Windows Management Instrumentation (WMI).
 
Omdat dit soort malware-campagnes moeilijk zijn te herkennen, volgen ThreatLabZ-analisten voortdurend de evolutie van de leveringstechnieken binnen meerdere bronnen om Zscaler Security Cloud up-to-date te houden.

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Over Zscaler

Zscaler stelt grote, wereldwijde organisaties in staat om veilig hun netwerken en applicaties te transformeren voor een mobile- en cloud-first wereld. De belangrijkste services, Zscaler Internet Access en Zscaler Private Access, zorgen voor snelle, veilige verbindingen tussen gebruikers en applicaties, ongeacht apparaat, locatie of netwerk. Zscaler-services zijn 100% cloud-gebaseerd en bieden de eenvoud, verhoogde beveiliging en verbeterde gebruikerservaring die traditionele appliances of hybride oplossingen niet kunnen evenaren. Zscaler wordt gebruikt in zeer veel landen en heeft een multi-tenant, gedistribueerd cloudbeveiligingsplatform dat duizenden klanten beschermt tegen cyberaanvallen en dataverlies.
Meer over Zscaler

Disclaimer

Dit item is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als het item een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis het originele item leidend.
20191029224512.jpg
Het no-nonsense internetbureau
20191029200614.jpg
Drive value with data
20191030101402.jpg
De grootste Nederlandse site over Android
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20191030103431.png
Conference by app developers, for app developers!
© 2019-2021, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.