Overslaan naar hoofdinhoud

Een nieuwe kijk op "bestandsloze" malware: kwaadaardige code in event logs

5 mei 2022

In een recent onderzoek hebben Kaspersky-experts een zeer doelgerichte malwarecampagne ontdekt. De campagne valt op door het innovatieve gebruik van Windows event logs voor het opslaan van malware, de indrukwekkende verscheidenheid aan technieken van de aanvallers, zoals commerciële pentesting-suites en anti-detection wrappers - waaronder die geschreven in Go. Verschillende last stage Trojans zijn in gebruik tijdens de campagne.

Kaspersky-experts hebben een zeer doelgerichte malwarecampagne gedetecteerd die gebruikmaakt van een unieke techniek, waarbij "bestandsloze" malware wordt verborgen in Windows event logs. De initiële infectie van het systeem werd uitgevoerd via de dropper-module uit een rar-bestand dat door het slachtoffer was gedownload. De malwaremakers gebruikten een verscheidenheid aan ongeëvenaarde anti-detectie wrappers om de uiteindelijke malware nog minder zichtbaar te maken. Om verdere detectie te vermijden, werden sommige modules ondertekend met een digitaal certificaat.

De indringers gebruikten twee soorten Trojans hiervoor, die gebruikt werden om verdere toegang tot het systeem te krijgen. De commando’s van de Command & Control (C2) servers worden op twee manieren afgeleverd: via HTTP communicatie en via named pipes. Sommige versies van de malware konden tientallen verschillende commando's van C2 ontvangen.

De malwarecampagne omvatte ook commerciële pentesting-tools, namelijk SilentBreak en CobaltStrike. De campagne combineerde bekende technieken met nieuwe technieken. Zo zijn Windows event logs gebruikt voor het verbergen van shellcode op het systeem

Denis Legezo, chief security researcher bij Kaspersky: "We waren getuige van een nieuwe gerichte malwaretechniek die onze aandacht trok. Voor de aanval gebruikte de criminelen een versleutelde shellcode uit de Windows event logs en voerde die vervolgens uit. Dat is een aanpak die we nog nooit eerder hebben gezien en benadrukt hoe belangrijk het is om grondig onderzoek te doen naar malwarecampagnes. Wij denken dat het de moeite waard is om event logs techniek toe te voegen aan MITRE matrix's "defense evasion" sectie in zijn "hide artifacts" deel. Het gebruik van meer dan een commerciële pentesting suites is ook niet iets wat je elke dag ziet".

Om jezelf te beschermen tegen bestandloze malware en soortgelijke bedreigingen doet men er goed aan om een betrouwbare beveiligingsoplossing voor endpoints te gebruiken. Daarnaast is het aan te raden om anti-APT- en EDR-oplossingen te installeren, zodat bedreigingen opgespoord en gedetecteerd kunnen worden, onderzoeken kunnen worden uitgevoerd en incidenten tijdig verholpen kunnen worden.

Meer informatie over de event logs techniek kan je vinden op Securelist.com

Een nieuwe kijk op "bestandsloze" malware: kwaadaardige code in event logs

In een recent onderzoek hebben Kaspersky-experts een zeer doelgerichte malwarecampagne ontdekt. De campagne valt op door het innovatieve gebruik van Windows event logs voor het opslaan van malware, de indrukwekkende verscheidenheid aan technieken van de aanvallers, zoals commerciële pentesting-suites en anti-detection wrappers - waaronder die geschreven in Go. Verschillende last stage Trojans zijn in gebruik tijdens de campagne.
Kaspersky logo

Over Kaspersky

Kaspersky is een internationaal bedrijf dat is opgericht in 1997 en dat is gespecialiseerd in cyberbeveiliging en digitale privacy. Dankzij de uitgebreide bedreigingsintelligentie en beveiligingsexpertise van Kaspersky zijn tot nu toe meer dan een miljard apparaten beschermd tegen opkomende cyberbedreigingen en gerichte aanvallen. Kaspersky transformeert voortdurend haar innovatieve oplossingen en diensten om bedrijven, kritieke infrastructuren, overheden en consumenten wereldwijd te beschermen. Onder het allesomvattende beveiligingsportfolio van Kaspersky vallen toonaangevende endpointbescherming, gespecialiseerde beveiligingsproducten en diensten, evenals Cyber Immune-oplossingen waarmee geavanceerde en evoluerende digitale bedreigingen kunnen worden bestreden. We helpen meer dan 200.000 zakelijke klanten te beschermen wat het belangrijkste voor ze is. Meer informatie vind je op www.kaspersky.nl.

Verwant artikel Information