Het uitvoeren van aanslagen in het geheugen, in plaats van via uitvoerbare bestanden lijkt sterk terug te komen. Vorig jaar zagen we een aantal van deze aanvallen richting banken. Fileless malware is niet nieuw, maar we zien ze de laatste tijd wel steeds vaker voorbijkomen.
Andy Patel van F-Secure Labs legt uit:
We gebruiken de term ‘fileless’ om niet-uitvoerbare malware te omschrijven. Deze malware is ontworpen om anti-malware technologieën te omzeilen die alleen vertrouwen op het opsporen van kwaadaardige code in uitvoerbare bestanden.
De aanvallers gebruiken Microsoft tools, zoals PowerShell. Door het geheugen aan te vallen met een kwaadaardige macro wordt PowerShell getriggerd om de malware te ontvangen en uit te voeren. Het is lastig om deze aanvallen te detecteren, omdat de macro’s file-based detectie omzeilen.
Nuttige maar schadelijke macro’s
Ons ‘State of Cyber Security 2017 rapport‘ legt macro’s als volgt uit: “Macro’s zijn in essentie nuttige hulpmiddelen om taken te automatiseren. Ze vormen echter veiligheidsrisico’s als ze malware verbergen in ogenschijnlijk onschuldige documenten. De macro’s verleiden slachtoffers tot het uitvoeren van de kwaadaardige code. In veel gevallen ontvangt het slachtoffer een document als e-mailbijlage, die bij het openen vereist dat de ontvanger macro’s toestaat om de inhoud te kunnen lezen. Eenmaal toegestaan, wordt de malware uitgevoerd.
Geheugen exploits maken vaak gebruik van bekende kwetsbaarheden. Uit onderzoek eind 2015 blijkt dat bij ongeveer 70% van de ondervraagde organisaties een patchmanagementoplossing ontbreekt. En volgens ‘Get Ready for Fileless Malware Attacks‘, een recent rapport van Gartner is dit juist één van de belangrijkste dingen die een organisatie moet doen: focusen op patchmanagement.
Toegang beperken = risico’s beperken
Door de toegang tot kritieke middelen, zoals de Command & Control server, te beperken kunnen organisaties de risico’s veroorzaakt door fileless malware te minimaliseren. Zelfs als de malware op het netwerk van de organisatie weet te komen, kan het geen kwaad zonder toegang tot de Command & Control server. De toegang kun je beperken met onze Botnet Blocker functie.
In een ander artikel deelden we zes tips voor het vermijden van macro-gebaseerde mallware. Deze tips gelden ook voor fileless malware-aanvallen. Onze engines, zoals DeepGuard die scant op gedrag, houden deze malware gelukkig al tegen.
Jose Perez, een van onze experts DeepGuard legt uit:
“DeepGuard biedt bescherming tegen exploits door de exploitatie van legitieme programma’s te beperken. Het biedt daarnaast bescherming tegen script-based aanvallen door de uitvoering van het script te blokkeren. In wezen is dit wat DeepGuard doet: gedrag scannen op schadelijke bedoelingen.”
The State of Cyber Security 2017
Download hieronder ‘The State of Cyber Security 2017’, ons gloednieuwe onderzoeksrapport vol met analyses, gegevens en inzichten van experts om jou te helpen het veranderende security landschap inzichtelijk te krijgen.
[fsecure-eloqua name=”THE%20STATE%20OF%20CYBER%20SECURITY%202017″ url=”http://images.news.f-secure.com/Web/FSecure/%7Bd52f77ef-dd23-4871-ab9b-2ae794f4dadd%7D_F-Secure-Threat-Report-State_of_Cyber_Security_2017.pdf” description=”THE%20STATE%20OF%20CYBER%20SECURITY%202017″]
Categorieën