Legális szoftverekkel támadnak a kiberbűnözők

Olyan „láthatatlan”és célzott támadás-sorozatot észleltek nemrég a Kaspersky Lab szakértői, amelyhez széles körben elterjedt legális rendszerkezelő, feladatautomatizáló platformját vagy adminisztrációs eszközöket használtak. A támadás során a kártékony programokat nem a merevlemezre telepítették, hanem elrejtették az említett szoftverek memóriájába. Ez a metodika lehetővé teszi a rosszindulatú programok elfedését a nyomozók elől, ugyanis az ilyen behatolások során a bűnözők viszonylag kevés ideig „tartózkodnak” a megtámadott rendszeren, csupán információgyűjtésre használják.

2017. február 13.

Piac&Profit

2016 végén a Kaspersky Lab szakemberei felvették a kapcsolatot a FÁK tagállamok (a Szovjetunió 15 volt tagországának szövetsége) olyan bankjaival, amelyek behatolás-tesztelő programokat észleltek a szerverhálózatok memóriájában, mint például a Meterpreter programot. Ezt a programot manapság főként rosszindulatú célokra használják. A Kaspersky Lab fedezte fel, hogy a Meterpreter programkódját kombinálták a PowerShell legális szoftver parancsállományával és más egyéb szkriptekkel. Ez a kombináció alkalmas arra, hogy elrejtőzzön a memóriában és észrevétlenül gyűjtse az információkat, mint például rendszergazda jelszavakat és ilyen módon akár távolról is átvegye az irányítást az áldozat rendszerén. Úgy tűnik, a végső célja a kiberbűnözöknek a pénzügyi folyamatokhoz való teljes hozzáférés.

Kiderült, hogy a fent említett esetek nem egyediek, valójában tömeges támadásról beszélhetünk: több mint 140 vállalati hálózat elleni támadást regisztráltak számos üzleti szektorban. A legtöbb áldozat az Egyesült Államokban, Franciaországban, Ecuadorban, Kenyában, az Egyesült Királyságban és Oroszországban található. Összesen 40 országban észleltek fertőzött hálózatokat.

Egyelőre ismeretlen a támadások elkövetője. A nyílt forráskód, a Windows segédprogramok és az ismeretlen domain nevek használata szinte lehetetlenné teszi, hogy meghatározzák a támadások elkövetőit. Jelenleg azt sem lehet megállapítani, hogy egy vagy akár több csoport használja ugyanazokat az eszközöket a támadásokra. A GCMAN és a Carbanak bűnöző csoport használ ehhez hasonló módszert.

Tehetetlenek vagyunk az adathalászokkal szemben?

Mindannyian vásárolunk a neten, bankkártyáink adatait vállalkozások tucatjai, sőt akár százai is őrzik adatbázisaikban. Ezekre vadásznak a hekkerek. Egy biztonsági szakértő szabadidejében cégek biztonsági hézagjait kutatja: szerint nem az a legnagyobb veszély hogy ellopják az adatainkat.

A fent említett eszközök használata azt is megnehezíti, hogy a támadás részleteit megismerhessük. Egy kiber incidens során a szokásos felderítő eljárás folyamán a nyomozó követi a nyomokat és a mintákat, amit a támadók a fertőzött hálózatban hagytak. Míg a merevlemezen tárolt „hátrahagyott” adatokat akár a támadás után egy évvel is észlelni lehet, addig a memóriában tárolt kártékony programsorok a számítógép első újraindítása után törlődnek. Szerencsére ebben az esetben a szakértők időben hozzáfértek az adatokhoz.

"A támadók alapvető szándéka, hogy elrejtsék a tevékenységüket valamint nehezítsék a felderítésüket, ezért a memória-alapú támadások egyre elterjedtebbek, ami tovább nehezíti a kártékony programok és azok funkcióinak elemzését. A fenti esetekben a támadók minden elképzelhető technikát felhasználtak és bemutatták, hogy már nem szükséges a malware-ek használata egy eredményes támadáshoz: a legális szoftverek és/vagy nyílt forráskódok alkalmazása tökéletesen ellehetetleníti a detektálást." – mondta Sergey Golovanov, Kaspersky Lab fő biztonsági kutatója.

A támadók még mindig aktívak, ezért fontos megjegyezni, hogy egy ilyen támadás észlelése csak a memóriában és a hálózatban lehetséges valamint ilyen esetekben a Yara szabályok használata a nem használt kártevő fájlok átvizsgálásán alapul.

Bővebb információt az esetekről és a Yara-szabályok kriminalisztikai elemzéséről a Securelist.com blogon olvashat.

Véleményvezér