Специалисты «Лаборатории Касперского» обнаружили серию "невидимых" целенаправленных атак, где используется только легальное ПО — широко доступные средства тестирования на проникновение и инструменты управления, а также структура PowerShell для автоматизации задач в Windows, не загружающие вредоносные файлы на жесткий диск, а скрывающиеся в памяти. Такой комбинированный подход помогает остаться незамеченными для технологии Whitelisting и оставляет экспертов почти без артефактов или образцов вредоносного ПО. Следы злоумышленников стираются из системы при первой перезагрузке.
В конце 2016 года специалисты «Лаборатории Касперского» связались с банками в СНГ, обнаружившими ПО для тестирования на возможность проникновения Meterpreter (которое в настоящее время часто используется злонамеренно) в памяти своих серверов в тот момент, когда его не должно там быть. «Лаборатория Касперского» обнаружила, что код Meterpreter был объединен с рядом законных сценариев PowerShell и других сервисных программ. Комбинированные средства были встроены во вредоносный код, который может скрываться в памяти и незримо собирать пароли системных администраторов, так что злоумышленники могут удаленно управлять системами. По-видимому, конечной целью был доступ к финансовым операциям.
Затем «Лаборатория Касперского» выяснила, что такие атаки совершаются в массовых масштабах: более 140 корпоративных сетей в ряде сфер бизнеса, при этом большинство из них расположены в США, Франции, Эквадоре, Кении, Великобритании и России. В общей сложности, атаки были зарегистрированы в 40 странах мира.
Пока неизвестно, кто за стоит за этими атаками. Использование в эксплойтах открытого исходного кода, общих для Windows утилит и неизвестных доменов делает практически невозможным обнаружение виновников — будь то одна или несколько групп, пользующихся одинаковыми средствами. Из известных групп со схожими подходами можно выделить GCMAN и Carbanak.
Такие средства также затрудняют раскрытие подробностей атаки. Обычный процесс при реагировании на компьютерные инциденты — идти по следам и собирать образцы, оставленные в сети злоумышленниками. И хотя данные на жестком диске могут оставаться доступными еще год после атаки, артефакты, скрывающиеся в памяти, будут уничтожены при первой перезагрузке компьютера. К счастью, в этом случае эксперты добрались до них вовремя.
"Стремление злоумышленников скрыть свои действия и затруднить обнаружение и реагирование на инциденты объясняет последние тенденции антикриминалистических методов и сосредоточенных на памяти вредоносных программ. Экспертный анализ памяти приобретает критическое значение для анализа вредоносного ПО и его функций. В этих конкретных случаях злоумышленники использовали каждую возможную антикриминалистическую технику, демонстрируя, что для успешной эксфильтрации данных из сети не требуется никаких вредоносных файлов, и что использование законных утилит с открытым исходным кодом делает установление авторства практически невозможным ", — заявил Сергей Голованов, ведущий исследователь проблем безопасности в «Лаборатории Касперского».
Злоумышленники все еще активны, поэтому важно отметить, что обнаружить такую атаку можно только в оперативной памяти, сети и системном реестре, и что в таких случаях от правил Yara, основанных на сканировании вредоносных файлов, нет никакого толку.