Modular Malware The New Stealthy Attack Uw gegevens stelen
Malware is er in alle soorten en maten. Bovendien is de verfijning van malware in de loop van de jaren aanzienlijk toegenomen. Aanvallers realiseren zich dat het niet altijd de meest efficiënte manier is om elk aspect van hun kwaadaardige pakket in één lading te passen.
Na verloop van tijd is malware modulair geworden. Dat wil zeggen, sommige malwarevarianten kunnen verschillende modules gebruiken om te wijzigen hoe ze een doelsysteem beïnvloeden. Dus, wat is modulaire malware en hoe werkt het?
Wat is modulaire malware?
Modulaire malware is een geavanceerde bedreiging die een systeem in verschillende fasen aanvalt. In plaats van door de voordeur te blazen, neemt modulaire malware een subtielere aanpak in.
Het doet dat door eerst de essentiële componenten eerst te installeren. Dan, in plaats van het veroorzaken van een fanfare en het waarschuwen van gebruikers voor zijn aanwezigheid, scout de eerste module het systeem en netwerkbeveiliging; wie de leiding heeft, welke beveiligingen worden uitgevoerd, waar de malware kwetsbaarheden kan vinden, welke exploits de beste kans op succes hebben, enzovoort.
Na de lokale omgeving met succes te hebben doorzocht, kan de malwaremodule van de eerste fase naar zijn command and control-server (C2) draaien. De C2 kan dan verdere instructies samen met aanvullende malwaremodules terugsturen om te profiteren van de specifieke omgeving waarin de malware actief is.
Modulaire malware heeft verschillende voordelen in vergelijking met malware die al zijn functionaliteit in één enkele payload verpakt.
- De malware-auteur kan de malwarehandtekening snel wijzigen om antivirus- en andere beveiligingsprogramma's te ontwijken.
- Modulaire malware biedt uitgebreide functionaliteit voor verschillende omgevingen. Daarin kunnen auteurs reageren op specifieke doelen, of als alternatief specifieke modules reserveren voor gebruik in bepaalde omgevingen.
- De initiële modules zijn klein en enigszins eenvoudiger te verbergen.
- Door meerdere malware-modules te combineren, raden beveiligingsonderzoekers aan wat er gaat gebeuren.
Modulaire malware is geen plotselinge nieuwe bedreiging. Malware-ontwikkelaars hebben lang efficiënt gebruik gemaakt van modulaire malwareprogramma's. Het verschil is dat beveiligingsonderzoekers in een groter aantal situaties meer modulaire malware tegenkomen. Onderzoekers hebben ook het enorme Necurs-botnet (berucht voor het verspreiden van de varianten Dridex en Locky ransomware) gespreid over modulaire malware-payloads. (Wat is een botnet eigenlijk? Wat is een Botnet en is uw computer onderdeel van een? Wat is een botnet en is uw computer onderdeel van een? Botnets zijn een belangrijke bron van malware, ransomware, spam en meer. een botnet? Hoe ontstaan ze? Wie controleert ze en hoe kunnen we ze stoppen? Lees meer)
Voorbeelden van modulaire malware
Er zijn enkele zeer interessante voorbeelden van modulaire malware. Hier zijn er een paar voor u om te overwegen.
VPNFilter
VPNFilter is een recente malwarevariant die routers en Internet of Things (IoT) -apparaten aanvalt. De malware werkt in drie fasen.
De malware uit de eerste fase neemt contact op met een opdracht- en besturingsserver om de module fase 2 te downloaden. De module van de tweede fase verzamelt gegevens, voert opdrachten uit en kan het apparaatbeheer beïnvloeden (inclusief de mogelijkheid om “steen” een router, IoT- of NAS-apparaat). De tweede fase kan ook modules van de derde fase downloaden, die werken als plug-ins voor de tweede fase. De modules van fase drie bevatten een pakketsniffer voor SCADA-verkeer, een pakketinspuitmodule en een module waarmee de fase 2-malware kan communiceren via het Tor-netwerk.
U kunt meer leren over VPNFilter, waar het vandaan kwam en hoe u het hier kunt vinden.
T9000
De beveiligingsonderzoekers van Palo Alto Networks hebben de T9000-malware ontdekt (geen relatie met Terminator of Skynet ... of is het ?!).
T9000 is een tool voor het verzamelen en verzamelen van informatie. Eenmaal geïnstalleerd, laat T9000 een aanvaller toe “vang versleutelde data, maak screenshots van specifieke applicaties en richt specifiek op Skype-gebruikers,” evenals Microsoft Office-productbestanden. T9000 wordt geleverd met verschillende modules die ontworpen zijn om tot 24 verschillende beveiligingsproducten te omzeilen, waardoor het installatieproces wordt gewijzigd om onder de radar te blijven.
DanaBot
DanaBot is een multi-stage banking Trojan met verschillende plug-ins die de auteur gebruikt om zijn functionaliteit uit te breiden. (Hoe snel en effectief om te gaan met Trojaanse paarden op afstand Hoe eenvoudig en effectief om te gaan met trojans op afstand Hoe om te gaan met Remote Access Trojans Een RAT ruiken? Als u denkt dat u bent geïnfecteerd met een Trojan op afstand, je kunt er gemakkelijk vanaf komen door deze eenvoudige stappen te volgen. Lees meer) Bijvoorbeeld, in mei 2018 werd DanaBot gezien in een reeks aanvallen tegen Australische banken. In die tijd ontdekten onderzoekers een packet sniffing en injectie plug-in, een VNC remote viewing plug-in, een datacollectie plugin en een Tor plug-in die veilige communicatie mogelijk maakt..
“DanaBot is een bank-Trojaans paard, wat betekent dat het in zekere mate noodzakelijk geografisch gericht is,” leest het Proofpoint DanaBot-blogbericht. “Adoptie door actoren met een hoog volume suggereert echter, zoals we zagen in de Amerikaanse campagne, actieve ontwikkeling, geografische expansie en voortdurende interesse van bedreigingen voor de malware. De malware zelf bevat een aantal anti-analysefuncties, evenals bijgewerkte stealer- en afstandsbedieningsmodules, waardoor de aantrekkelijkheid en het nut ervan nog groter wordt voor bedreigende actoren.”
Marap, AdvisorsBot en CobInt
Ik combineer drie modulaire malwarevarianten in één sectie omdat de geweldige beveiligingsonderzoekers van Proofpoint ze alle drie ontdekten. De modulaire malwarevarianten hebben overeenkomsten maar hebben verschillende toepassingen. Verder maakt CobInt deel uit van een campagne voor de Cobalt Group, een criminele organisatie die banden heeft met een lange lijst van bank- en financiële cybercriminaliteit..
Marap en AdvisorsBot werden beide gespot door scans te maken van doelsystemen voor defensie en netwerkmapping, en of de malware de volledige payload zou moeten downloaden. Als het doelsysteem van voldoende belang is (bijvoorbeeld waarde heeft), vraagt de malware om de tweede fase van de aanval.
Net als andere modulaire malwarevarianten volgen Marap, AdvisorsBot en CobInt een driestappenstroom. De eerste fase is meestal een e-mail met een geïnfecteerde bijlage die de initiële exploit bevat. Als de exploit wordt uitgevoerd, vraagt de malware onmiddellijk om de tweede fase. De tweede fase bevat de verkenningsmodule die de beveiligingsmaatregelen en het netwerklandschap van het doelsysteem beoordeelt. Als de malware vindt dat alles geschikt is, downloadt de derde en laatste module, inclusief de belangrijkste payload.
Proofpoint anaylsis van:
- Marap
- AdvisorBot (en PoshAdvisor)
- CobIn
Verminking
Mayhem is een iets oudere modulaire malwarevariant, die voor het eerst in 2014 aan het licht kwam. Mayhem blijft echter een prima voorbeeld van een modulaire malware. De malware, ontdekt door beveiligingsonderzoekers van Yandex, richt zich op Linux- en Unix-webservers. Het wordt geïnstalleerd via een kwaadaardig PHP-script.
Na de installatie kan het script een beroep doen op verschillende plug-ins die het uiteindelijke gebruik van de malware bepalen.
De plug-ins bevatten een brute force-wachtwoordkraker die FTP-, WordPress- en Joomla-accounts target, een webcrawler om te zoeken naar andere kwetsbare servers en een tool die de Heartbleed OpenSLL-kwetsbaarheid uitbuit..
DiamondFox
Onze laatste modulaire malwarevariant is ook een van de meest complete. Het is ook een van de meest verontrustende, om een paar redenen.
Reden één: DiamondFox is een modulair botnet te koop op verschillende ondergrondse fora. Potentiële cybercriminelen kunnen het DiamondFox modulaire botnetpakket aanschaffen om toegang te krijgen tot een breed scala aan geavanceerde aanvalsmogelijkheden. De tool wordt regelmatig bijgewerkt en heeft, net als alle goede online services, persoonlijke klantenservice. (Het heeft zelfs een change-log!)
Reden twee: het modulaire botnet van DiamondFox wordt geleverd met een reeks plug-ins. Deze worden in- en uitgeschakeld via een dashboard dat niet misstaat als een slimme thuis-app. Plug-ins bevatten op maat gemaakte spionagehulpmiddelen, tools voor het stelen van geloofsbrieven, DDoS-tools, keyloggers, spammailers en zelfs een RAM-schraper.
Waarschuwing: de volgende video bevat muziek die u mogelijk wel of niet leuk vindt.
Hoe een modulaire malwareaanval te stoppen
Op dit moment beschermt geen specifiek hulpmiddel tegen een specifieke modulaire malwarevariant. Bovendien hebben sommige modulaire malwarevarianten een beperkte geografische reikwijdte. Zo zijn Marap, AdvisorsBot en CobInt vooral te vinden in Rusland en de GOS-landen.
Dat gezegd hebbende, wezen de Proofpoint-onderzoekers erop dat, ondanks de huidige geografische beperkingen, andere criminelen zo'n gevestigde criminele organisatie zien met behulp van modulaire malware, anderen zullen zeker volgen.
Bewustwording over hoe modulaire malware op uw systeem aankomt, is belangrijk. De meerderheid gebruikt geïnfecteerde e-mailbijlagen, meestal met een Microsoft Office-document met een kwaadaardig VBA-script. Aanvallers gebruiken deze methode omdat het eenvoudig is om geïnfecteerde e-mails te sturen naar miljoenen potentiële doelwitten. Bovendien is de eerste exploit klein en gemakkelijk vermomd als een Office-bestand.
Zoals altijd, zorg ervoor dat je systeem up-to-date blijft en overweeg om te investeren in Malwarebytes Premium - het is de moeite waard 5 Redenen om te upgraden naar Malwarebytes Premium: Ja, het is het waard 5 Redenen om te upgraden naar Malwarebytes Premium: Ja, het is het waard de gratis versie van Malwarebytes is geweldig, de premium-versie heeft een heleboel nuttige en waardevolle functies. Lees verder !
Meer informatie over: Jargon, Malware, Modular Malware, Trojan Horse.