In een recent onderzoek hebben Kaspersky-experts een zeer doelgerichte malwarecampagne ontdekt. De campagne valt op door het innovatieve gebruik van Windows event logs voor het opslaan van malware, de indrukwekkende verscheidenheid aan technieken van de aanvallers, zoals commerciële pentesting-suites en anti-detection wrappers - waaronder die geschreven in Go. Verschillende last stage Trojans zijn in gebruik tijdens de campagne.
Kaspersky-experts hebben een zeer doelgerichte malwarecampagne gedetecteerd die gebruikmaakt van een unieke techniek, waarbij "bestandsloze" malware wordt verborgen in Windows event logs. De initiële infectie van het systeem werd uitgevoerd via de dropper-module uit een rar-bestand dat door het slachtoffer was gedownload. De malwaremakers gebruikten een verscheidenheid aan ongeëvenaarde anti-detectie wrappers om de uiteindelijke malware nog minder zichtbaar te maken. Om verdere detectie te vermijden, werden sommige modules ondertekend met een digitaal certificaat.
De indringers gebruikten twee soorten Trojans hiervoor, die gebruikt werden om verdere toegang tot het systeem te krijgen. De commando’s van de Command & Control (C2) servers worden op twee manieren afgeleverd: via HTTP communicatie en via named pipes. Sommige versies van de malware konden tientallen verschillende commando's van C2 ontvangen.
De malwarecampagne omvatte ook commerciële pentesting-tools, namelijk SilentBreak en CobaltStrike. De campagne combineerde bekende technieken met nieuwe technieken. Zo zijn Windows event logs gebruikt voor het verbergen van shellcode op het systeem
Denis Legezo, chief security researcher bij Kaspersky: "We waren getuige van een nieuwe gerichte malwaretechniek die onze aandacht trok. Voor de aanval gebruikte de criminelen een versleutelde shellcode uit de Windows event logs en voerde die vervolgens uit. Dat is een aanpak die we nog nooit eerder hebben gezien en benadrukt hoe belangrijk het is om grondig onderzoek te doen naar malwarecampagnes. Wij denken dat het de moeite waard is om event logs techniek toe te voegen aan MITRE matrix's "defense evasion" sectie in zijn "hide artifacts" deel. Het gebruik van meer dan een commerciële pentesting suites is ook niet iets wat je elke dag ziet".
Om jezelf te beschermen tegen bestandloze malware en soortgelijke bedreigingen doet men er goed aan om een betrouwbare beveiligingsoplossing voor endpoints te gebruiken. Daarnaast is het aan te raden om anti-APT- en EDR-oplossingen te installeren, zodat bedreigingen opgespoord en gedetecteerd kunnen worden, onderzoeken kunnen worden uitgevoerd en incidenten tijdig verholpen kunnen worden.
Meer informatie over de event logs techniek kan je vinden op Securelist.com
