Scriptgebaseerde malware: een nieuwe hacktrend in Internet Explorer, ontdekt Unit 42

| Palo Alto Networks | 3 min | 20 augustus 2020 9:31
Copyright: Palo Alto Networks
In de afgelopen maanden heeft Unit 42, het threat intelligence team van Palo Alto Networks, geavanceerde scriptgebaseerde malware gedetecteerd via browser-exploits van Internet Explorer (IE) die het Windows Operating System (OS) infecteert. Scriptgebaseerde malware blijkt een aantrekkelijke manier voor hackers om computers binnen te dringen.

Twee voorbeelden

Hackers hebben met scripttalen flexibele en toegankelijke tools om gemakkelijk geavanceerde malware te maken. Om dit aan te tonen, heeft Unit 42 twee voorbeelden gekozen van scriptgebaseerde malware die wordt gebruikt om Windows OS-gebruikers te infecteren. Deze voorbeelden vond Unit 42 in twee verschillende bronnen, maar kwamen uit dezelfde IE-browser-exploit van de kwetsbaarheid CVE-2019-0752.
 
Het eerste voorbeeld is een JScript Remote Access Trojan (RAT) die zorgt voor aanhoudende aanvallen op het doelsysteem en vervolgens een gecodeerde netwerkverbinding gebruikt om verbinding te maken met de hacker. Daarna kan de hacker willekeurige commando's op de doelcomputer uitvoeren om er mogelijk volledige controle over te hebben. Het tweede voorbeeld is een AutoIT-downloader die netwerkverbinding en scriptfuncties gebruikt om malware te downloaden en uit te voeren, die kan worden gebruikt om gerichte systemen te infecteren met malware zoals ransomware, spyware enzovoort.

Waarom scripts gebruiken?

De vraag die Unit 42 zich stelde was: waarom kiest een hacker een script in plaats van een gewoon uitvoerbaar bestand?
 
Allereerst zijn scripttalen zoals JScript, VBScript en zelfs AutoIT oorspronkelijk gemaakt om de uitvoering van taken in de Windows-omgeving te automatiseren en te vereenvoudigen, en daarom hebben deze talen meerdere functies om het aanroepen van Windows API’s te vergemakkelijken. Vanwege het gebruiksgemak van deze functies is het voor een hacker vrij eenvoudig om een ??netwerkverbinding tot stand te brengen of om te communiceren met de Windows-omgeving, bijvoorbeeld om shell-opdrachten uit te voeren.
 
Scripttalen zijn ook vaak van een hoger niveau dan C of C ++, en zijn gemakkelijker te leren en toegankelijker voor hackers. Met slechts een paar regels code kunnen hackers een werkend en flexibel kwaadaardig programma bouwen met veel functies zoals netwerkverbinding en uitvoering van opdrachten.
 
Bovendien kunnen aanvallers veel verschillende technieken en tools gebruiken om hun kwaadaardige scripts te verhullen. Dit kunnen heel eenvoudige tools zijn, zoals de scriptcodering van Microsoft, wanneer de aanvaller primair op zoek is naar snelle resultaten, of het kan de vorm aannemen van zeer zware vertroebelingen die voor analisten een uitdaging zullen zijn om te kunnen tracken.
 
Ten slotte stellen kwaadaardige scripts hackers in staat om zich haast ondetecteerbaar te maken als ze dat willen, wat betekent dat de kwaadaardige scripts verschillende soorten detecties kunnen omzeilen en zo anti-malwaretechnologieën kunnen omzeilen. Zodra de op scripts gebaseerde malware door beveiligers is gedetecteerd en als malware is getagd, is het voor hackers gemakkelijker en sneller om nieuwe varianten van hun malware te ontwikkelen om vervolgens die detecties weer te omzeilen als ze scripttalen gebruiken.
 
Voor de technische specificaties van het onderzoek en voor meer informatie, verwijzen we je graag naar het blog van Unit 42.

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Deel dit item
Over Palo Alto Networks
Palo Alto Networks als leverancier op het gebied van cyberbeveiliging geeft de cloud-centric toekomst vorm met technologie die de manier waarop mensen en organisaties werken transformeert. Onze missie is om de cybersecuritypartner bij uitstek te zijn en onze digitale manier van leven te beschermen. We helpen de grootste beveiligingsuitdagingen ter wereld aan te pakken met continue innovatie die de nieuwste doorbraken in kunstmatige intelligentie, analyse, automatisering en orkestratie grijpt. Door een geïntegreerd platform te leveren en een groeiend ecosysteem van partners te versterken, lopen we voorop bij het beschermen van organisaties via clouds, netwerken en mobiele apparaten. Onze visie is een wereld waar elke dag veiliger en veiliger is dan de vorige.
Palo Alto Networks, en het Palo Alto Networks-logo zijn handelsmerken van Palo Alto Networks, Inc. in de Verenigde Staten en in rechtsgebieden over de hele wereld. Alle andere handelsmerken, handelsnamen of servicemerken die hierin worden gebruikt of genoemd, zijn eigendom van hun respectievelijke eigenaren.
Meer over Palo Alto Networks
Disclaimer
Dit item is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als het item een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis het originele item leidend.
20191030103431.png
Conference by app developers, for app developers!
20191029200614.jpg
Drive value with data
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20191030101402.jpg
De grootste Nederlandse site over Android
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20191030100036.png
Voor professionals met passie voor digitale revolutie!
© 2019-2021, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.