Fileless Malware napada!

Stotine banaka širom sveta zaraženo malverom koji se izvršava u RAM memoriji! Skoro je nemoguće otkriti ga.

Fileless Malware napada!

Više od stotinu banaka i finansijskih institucija širom sveta je inficirano opasnim, sofisticiranim malverom koji je baziran na memoriji i kojeg je skoro nemoguće uočiti. Hakeri su izvršili napad na banke, telekomunikacione kompanije i vladine organizacije u preko 40 zemalja, uključujući i SAD, Južnu Ameriku, Evropu i Afriku. Napad je izvršen pomoću malvera koji postoji isključivo u memoriji kompromitovanih računara.

Ova vrsta malvera (malver „bez fajla“) je prvi put otkrivena 2014. godine. U pitanju je opasan malver koji ne kopira fajlove i foldere na hard disk radi izvršenja. Umesto toga, payload se direktno ubacuje u memoriju tekućih procesa i malver se izvršava u RAM memoriji. Pošto se malver nalazi u procesu, akvizicija memorije postaje beskorisna kada se sistem restartuje, a to otežava digitalnim forenzičarima da pronađu tragove malvera.

Malver je prvobitno otkriven tako što je kopija Meterpretera pronađena u fizičkoj memoriji Microsoft domen kontrolora. Meterpreter je komponenta koja postoji u memoriji Metasploita (softvera za testiranje ranjivosti sistema).

Potvrđeno je da su napadači koristili Windows PowerShell da ubace kôd Meterpretera direktno u memoriju umesto da je zapisuju na disk. Takođe, napadači su koristili i Microsoft NETSH mrežni alat kako bi napravili proxy komunikacioni tunel sa C&C serverom i sa udaljene lokacije upravljali zaraženim računarom. Oni su sakrili PowerShell komande u Windows registry kako bi skoro svi tragovi napada u logovima i hard disku nestali nakon restartovanja uređaja i tako su značajno otežali digitalnu forenziku.

Izgleda da je krajnji cilj napadača bio da se kompromituju računari koji kontrolišu bankomate kako bi ukrali novac. Za sada su ovakvi napadi potvrđeni u više od 140 kompanija, a najviše žrtava je iz SAD-a, Francuske, Ekvadora, Kenije, UK-a i Rusije. S obzirom na to da se ovaj malver jako teško otkriva, opravdano se sumnja da je broj žrtava znatno veći.

PowerShell – jezik za sve

Microsoft PowerShell je moćni jezik za skripte i shell framework koji se primarno koristi na Windows računarima. Postoji više od 10 godina i u budućnosti će zameniti default command promt u Windowsu. Dok mnogi sistem administratori koriste PowerShell skripte za dnevno upraljanje zadacima, napadači sve više koriste framework za svoje kampanje.

U mnogim napadima novijeg datuma korišćene su PowerShell skripte. Recimo, Odinaff grupa ih je koristila u svojim napadima na finansijske organizacije širom sveta. Grupa koja stoji iza Trojan.Kotvera koristi ove skripte za kreiranje infekcije bez fajla koja se nalazi samo u registryju. I brojni drugi sajber-kriminalci obilato koriste ove skripte.

PowerShell je podrazumevano instalirana na većini Windows računara i većina organizacija nema omogućeno produženo beleženje logova za framework. Ova dva faktora su razlog popularnosti PowerShella kod sajber-napadača. Pored toga, skripte je moguće jednostavno zamaskirati i omogućiti da se payloadi izvršavaju direktno iz memorije.

BlueCoat malver analizom u sandboxu otkriveno je da je čak 95,4% analiziranih PowerShell skripti maliciozno. To je dokaz da su PowerShell skripte iz eksternih izvora velike pretnje po kompanije.

Zaštita

Na sreću, za korisnike Symantec Endpoint Protection-a postoji način da se zaštite od PowerWare-a, kako se jednim imenom zovu malver varijante bez fajla (fileless) koje se oslanjaju na fajl potpise ili statičke atribute exe fajlova. SEP korisnici mogu da koriste granularnu kontrolu koju obezbeđuje ovaj proizvod, kako bi se zaštitili od ove vrste pretnje. Konkretno, Application Control funkcija može da se koristi tako da obezbedi mnogo jaču kontrolu.

Kao prvo, može da se zabrani da Microsoft Word, Excel, PowerPoint i sl. pokreću cmd.exe ili powershell.exe direktno iz ovih aplikacija. Gotovo da ne postoji opravdan razlog da se cmd.exe ili powershell.exe procesi pokreću iz Microsoft Worda i sličnih aplikacija.

Drugo, može da se zabrani Microsoft aplikacijama da menjaju cmd.exe ili powershell.exe. Ova mera je prevencija za buduće varijante malvera, da one ne mogu da naprave kopiju cmd.exe ili powershell.exe i da pokreću kopije tih programa.

Izvori: The Hacker News, Symantec Connect