Overslaan naar hoofdinhoud
05 mei 2022

Een nieuwe kijk op "bestandsloze" malware: kwaadaardige code in event logs

In een recent onderzoek hebben Kaspersky-experts een zeer doelgerichte malwarecampagne ontdekt. De campagne valt op door het innovatieve gebruik van Windows event logs voor het opslaan van malware, de indrukwekkende verscheidenheid aan technieken van de aanvallers, zoals commerciële pentesting-suites en anti-detection wrappers - waaronder die geschreven in Go. Verschillende last stage Trojans zijn in gebruik tijdens de campagne.

Kaspersky-experts hebben een zeer doelgerichte malwarecampagne gedetecteerd die gebruikmaakt van een unieke techniek, waarbij "bestandsloze" malware wordt verborgen in Windows event logs. De initiële infectie van het systeem werd uitgevoerd via de dropper-module uit een rar-bestand dat door het slachtoffer was gedownload. De malwaremakers gebruikten een verscheidenheid aan ongeëvenaarde anti-detectie wrappers om de uiteindelijke malware nog minder zichtbaar te maken. Om verdere detectie te vermijden, werden sommige modules ondertekend met een digitaal certificaat.

De indringers gebruikten twee soorten Trojans hiervoor, die gebruikt werden om verdere toegang tot het systeem te krijgen. De commando’s van de Command & Control (C2) servers worden op twee manieren afgeleverd: via HTTP communicatie en via named pipes. Sommige versies van de malware konden tientallen verschillende commando's van C2 ontvangen.

De malwarecampagne omvatte ook commerciële pentesting-tools, namelijk SilentBreak en CobaltStrike. De campagne combineerde bekende technieken met nieuwe technieken. Zo zijn Windows event logs gebruikt voor het verbergen van shellcode op het systeem

Denis Legezo, chief security researcher bij Kaspersky: "We waren getuige van een nieuwe gerichte malwaretechniek die onze aandacht trok. Voor de aanval gebruikte de criminelen een versleutelde shellcode uit de Windows event logs en voerde die vervolgens uit. Dat is een aanpak die we nog nooit eerder hebben gezien en benadrukt hoe belangrijk het is om grondig onderzoek te doen naar malwarecampagnes. Wij denken dat het de moeite waard is om event logs techniek toe te voegen aan MITRE matrix's "defense evasion" sectie in zijn "hide artifacts" deel. Het gebruik van meer dan een commerciële pentesting suites is ook niet iets wat je elke dag ziet".

Om jezelf te beschermen tegen bestandloze malware en soortgelijke bedreigingen doet men er goed aan om een betrouwbare beveiligingsoplossing voor endpoints te gebruiken. Daarnaast is het aan te raden om anti-APT- en EDR-oplossingen te installeren, zodat bedreigingen opgespoord en gedetecteerd kunnen worden, onderzoeken kunnen worden uitgevoerd en incidenten tijdig verholpen kunnen worden.

Meer informatie over de event logs techniek kan je vinden op Securelist.com

Een nieuwe kijk op "bestandsloze" malware: kwaadaardige code in event logs

In een recent onderzoek hebben Kaspersky-experts een zeer doelgerichte malwarecampagne ontdekt. De campagne valt op door het innovatieve gebruik van Windows event logs voor het opslaan van malware, de indrukwekkende verscheidenheid aan technieken van de aanvallers, zoals commerciële pentesting-suites en anti-detection wrappers - waaronder die geschreven in Go. Verschillende last stage Trojans zijn in gebruik tijdens de campagne.
Kaspersky Logo

Verwant artikel Spamnieuws

  • OnionPoison: geïnfecteerd Tor Browser-installatieprogramma verspreidt zich via populair YouTube-kanaal

    Onlangs ontdekten onderzoekers van Kaspersky een lopende kwaadaardige campagne die wordt verspreid via een YouTube-kanaal met meer dan 180.000 abonnees. Cybercriminelen verspreiden malware om persoonlijke gegevens van gebruikers te verzamelen en volledige controle over de computer van het slachtoffer te krijgen. Dit doen de cybercriminelen door in de beschrijving van een video over het darknet een link naar een geïnfecteerde versie van Tor Browser te plaatsen.
    Lees meer >

  • Beruchte Prilex-dreigingsactor verkoopt wereldwijd nieuwe gevaarlijke en geavanceerde PoS-malware

    De Prilex-dreigingsgroep, bekend om het stelen van miljoenen dollars van banken, heeft een aanzienlijke ontwikkeling doorgemaakt. Dit ontdekten onderzoekers van Kaspersky. Prilex heeft zijn tools opgewaardeerd van een eenvoudige geheugenschraper tot een geavanceerde en complexe malware. Deze is nu gericht op modulaire Point of Sales (PoS)-terminals. Cybercriminelen verkopen hun malware ook actief op het darknet als Malware-as-a-Service, waardoor deze nu beschikbaar is voor andere fraudeurs en het risico voor bedrijven wereldwijd toeneemt om geld te verliezen.
    Lees meer >

  • Nieuwe actieve campagne NullMixer jaagt op betaalgegevens, cryptocurrencies en sociale netwerkaccounts van gebruikers

    Onderzoekers van Kaspersky hebben een nieuwe campagne ontdekt die malware NullMixer verspreidt die informatie zoals adres- en creditcardgegevens, maar ook cryptocurrencies en zelfs Facebook- en Amazon-accounts van gebruikers steelt. Bij een poging om gekraakte software te downloaden van sites van derden, werden meer dan 47.500 gebruikers aangevallen met NullMixer, dat in staat is om gebruikers te bespioneren en alle informatie vast te leggen die ze op het toetsenbord invoeren. In Nederland waren 186 gebruikers het slachtoffer van de malware.
    Lees meer >