Nova versão do malware "fileless": O código malicioso nos registos de eventos

Peritos da Kaspersky descobriram, numa investigação recente, uma nova campanha de malware direcionada. A actividade é notável pela sua utilização inovadora dos registos de eventos do Windows para armazenamento de malware ou pela impressionante variedade de técnicas de ataque - tais como conjuntos de pentesting comerciais e invólucros anti-detecção, incluindo os que são compilados com Go. Durante a campanha são utilizados vários Trojans de última etapa.

Os peritos da Kaspersky detectaram uma campanha de malware direcionada que utiliza uma técnica original, escondendo malware "fileless" dentro dos registos de eventos do Windows. A contaminação inicial do sistema é realizada através do módulo conta-gotas de um ficheiro descarregado pela vítima. O atacante utiliza uma variedade de coberturas anti-detecção sem precedentes para tornar os Trojans ainda menos visíveis na última fase. Para evitar ainda mais a detecção, alguns módulos foram assinados com um certificado digital.

Os atacantes empregaram dois tipos de Trojans para a última fase, a fim de obterem mais acesso ao sistema. Os servidores de Comando e Controlo (C&C) entregam de duas formas: através de HTTP e através da utilização de named pipes. Algumas versões de trojans conseguiram utilizar um sistema de controlo com dezenas de comandos do C2.

A campanha incluiu também ferramentas comerciais de pentesting, nomeadamente SilentBreak e CobaltStrike, combinando assim técnicas conhecidas com descodificadores personalizados. É também a primeira vez que se observa a utilização de registos de eventos do Windows para ocultar o código da Shell no sistema.

"Testemunhámos uma nova técnica de malware direcionada que atraiu a nossa atenção. Para o ataque, o atacante guardou e depois executou um código de shell encriptado a partir dos registos de eventos do Windows. Esta é uma abordagem que nunca vimos antes e sublinha a importância de estarmos conscientes das ameaças que de outra forma nos poderiam apanhar desprevenidos. Acreditamos que vale a pena adicionar a técnica de registo de eventos à secção "evasão de defesa" da matriz MITRE na sua parte "esconder artefactos". A utilização de várias suites de pentesting comerciais também não é algo que se vê todos os dias.", afirma Denis Legezo, principal security researcher at Kaspersky.

Para se proteger de malware 'fileless' e ameaças semelhantes, a Kaspersky recomenda:

• Utilizar uma solução de segurança fiável de endpoint. Um componente dedicado em Kaspersky Endpoint Security for Business pode detectar anomalias no comportamento dos ficheiros e revelar qualquer actividade malware sem ficheiros.
• Instalar soluções anti-APT e EDR que permitam a descoberta e deteção de ameaças, bem como a investigação e reparação de incidentes. Além disso, os nossos peritos aconselham a equipa SOC a ter acesso às últimas ameaças, bem como a actualizá-las regularmente com formação profissional. Tudo isto está disponível no âmbito da Kaspersky Expert Security.
• Garantir uma protecção adequada dos endpoints e serviços dedicados que possam ajudar a proteger contra ataques. O serviço Kaspersky Managed Detection and Response pode ajudar a identificar e parar os ataques nas suas fases iniciais, antes dos atacantes atingirem os seus objectivos.

Saiba mais em Securelist.com.