„Nevidljivi” napadi: Sajber kriminalci napadaju kompanije preko sakrivenog malvera

Stručnjaci iz kompanije Kaspersky Lab uočili su niz „nevidljivih“ ciljanih napada koji koriste isključivo legalan softver: alate za penetracione testove i administraciju, kao i PowerShell okvir za automatizaciju zadataka na Windows operativnom sistemu, pri čemu malver fajlovi nisu instalirani na hard disk već se kriju u memoriji. Ovakav kombinovan pristup omogućuje kriminalcima da izbegnu detekciju, zbog čega istražitelji nemaju gotovo nikakvih dokaza na osnovu kojih bi mogli da sprovode istragu. Napadači se zadržavalju tek toliko dugo da dobiju dovoljno informacija, nakon čega brišu svoje tragove prilikom prvog restartovanja sistema.

Kaspersky

Krajem 2016. godine, stručnjake iz kompanije Kaspersky Lab kontaktirale su banke koje su u memoriji svojih servera pronašle softver za penetraciono testiranje koji ne bi trebalo da se nalazi tu – Meterpreter. Ovaj softver se danas često koristi u maliciozne svrhe. Stručnjaci iz kompanije Kaspersky Lab otkrili su da je Meterpreter radio u kombinaciji sa brojnim legitimnnim PowerShell skriptama i drugim alatima. Ovako kombinovani alati predstavljali su maliciozni kod koji ima sposobnost da se sakrije u memoriji, i da neprimetno prikuplja lozinke sistemskih administratora kako bi napadačima omogućio da daljinski kontrolišu sistem.

Kraljnji cilj bio je prostup finansijskim procesima banaka. Kompanija Kaspersky Lab je od tog trenutka otkrila da su se ovi napadi odvijali na globalnom nivou, pri čemu je pogođeno više od 140 kompanija širom sveta, a najviše u SAD, Francuskoj, Ekvadoru, Keniji, Velikoj Britaniji i Rusiji.

Infekcije su registrovane u ukupno 40 zemalja. Nije poznato ko stoji iza ovih napada. Usled korišćenja koda otvorenog izvora, kao i Windows alata i nepoynatih domena, gotovo je nemoguće otkriti koja grupa je odgovorna za napade, pa čak i da li je u pitanju jedna grupa ili više njih. Neke od najpoznatijih hakerskih grupa koje koriste slične pristupe jesu GCMAN i Carbanak.

Ovi alati otežavaju proces otkrivanja detalja o samim napadima. Normalna procedura podrazumeva da istražitelji prate tragove koje su napadači ostavili u sistemu. I dok podaci koji se nalaze na hard disku mogu biti vidljivi i godinu dana nakon napada, malver koji se krije u memoriji nestaje nakon prvog sledećeg pokretanja sistema. Srećom, stručnjaci su uspeli da ih uoče na vreme.

„Posvećenost napadača cilju da sakriju svoje aktivnosti i učine proces detekcije i odgovora na pretnje izuzetno komplikovanim, ukazuje nam na najnoviji trend anti-forenzičkih tehnika i malvera koji se kriju u memoriji. Zbog toga je memorijska forenzika postala od krucijalnog značaja za analizu malvera i njegovih funkcija. Kada su u pitanju ovi konkretni napadi, napadači su koristili sve moguće taktike za izbegavanje detekcije, i pokazali da im nisu potrebni malver fajlovi kako bi uspešno ukrali informacije, kao i da je usled korišćenja alata otvorenog koda gotovo nemoguće odrediti ko je izvršio taj napad“,, izjavio je Sergej Golovanov (Sergey Golovanov), glavni bezbednosni istraživač u kompaniji Kaspersky Lab.

Napadači su i dalje aktivni, tako da treba imati u vidu da je detekcija napada moguća samo u RAM memoriji, mreži i registrima, i da u tim slučajevima, korišćenje Yara pravila zasnovanih na skeniranju malicioznih objekata neće biti od koristi.

Detalje o drugom delu ove operacije, uključujući i objašnjenje kako napadači koriste jedinstvene taktike da podignu novac sa bankomata, predstaviće Sergej Golovanov (Sergey Golovanov) i Igor Sumenikov (Igor Soumenkov) na ovogodišnjem Security Analyst Summit-u, koji će biti održan od 2. do 6. aprila.

Kaspersky Lab proizvodi uspešno detektuju operacije koje koriste gore pomenute taktike, tehnike i procedure. Više informacija o ovoj priči i Yara pravilima za forenzičku analizu možete pronaći na blogu Securelist.com. Tehnički detalji, uključujući i indikatore o kompromitovanosti, dostupni su korisnicima platforme Kaspersky Intelligence Services.