Киберпреступники все чаще используют легальное ПО для «невидимых» целенаправленных атак

Следы мошенников стираются из системы при первой перезагрузке.

Специалисты «Лаборатории Касперского» обнаружили серию "невидимых" целенаправленных атак, где используется только легальное ПО — широко доступные средства тестирования на проникновение и инструменты управления, а также структура PowerShell для автоматизации задач в Windows, не загружающие вредоносные файлы на жесткий диск, а скрывающиеся в памяти. Такой комбинированный подход помогает остаться незамеченными для технологии Whitelisting и оставляет экспертов почти без артефактов или образцов вредоносного ПО. Следы злоумышленников стираются из системы при первой перезагрузке.

В конце 2016 года специалисты «Лаборатории Касперского» связались с банками в СНГ, обнаружившими ПО для тестирования на возможность проникновения Meterpreter (которое в настоящее время часто используется злонамеренно) в памяти своих серверов в тот момент, когда его не должно там быть. «Лаборатория Касперского» обнаружила, что код Meterpreter был объединен с рядом законных сценариев PowerShell и других сервисных программ. Комбинированные средства были встроены во вредоносный код, который может скрываться в памяти и незримо собирать пароли системных администраторов, так что злоумышленники могут удаленно управлять системами. По-видимому, конечной целью был доступ к финансовым операциям.

Затем «Лаборатория Касперского» выяснила, что такие атаки совершаются в массовых масштабах: более 140 корпоративных сетей в ряде сфер бизнеса, при этом большинство из них расположены в США, Франции, Эквадоре, Кении, Великобритании и России. В общей сложности, атаки были зарегистрированы в 40 странах мира.

Пока неизвестно, кто за стоит за этими атаками. Использование в эксплойтах открытого исходного кода, общих для Windows утилит и неизвестных доменов делает практически невозможным обнаружение виновников — будь то одна или несколько групп, пользующихся одинаковыми средствами. Из известных групп со схожими подходами можно выделить GCMAN и Carbanak.

Такие средства также затрудняют раскрытие подробностей атаки. Обычный процесс при реагировании на компьютерные инциденты — идти по следам и собирать образцы, оставленные в сети злоумышленниками. И хотя данные на жестком диске могут оставаться доступными еще год после атаки, артефакты, скрывающиеся в памяти, будут уничтожены при первой перезагрузке компьютера. К счастью, в этом случае эксперты добрались до них вовремя.

"Стремление злоумышленников скрыть свои действия и затруднить обнаружение и реагирование на инциденты объясняет последние тенденции антикриминалистических методов и сосредоточенных на памяти вредоносных программ. Экспертный анализ памяти приобретает критическое значение для анализа вредоносного ПО и его функций. В этих конкретных случаях злоумышленники использовали каждую возможную антикриминалистическую технику, демонстрируя, что для успешной эксфильтрации данных из сети не требуется никаких вредоносных файлов, и что использование законных утилит с открытым исходным кодом делает установление авторства практически невозможным ", — заявил Сергей Голованов, ведущий исследователь проблем безопасности в «Лаборатории Касперского».

Злоумышленники все еще активны, поэтому важно отметить, что обнаружить такую атаку можно только в оперативной памяти, сети и системном реестре, и что в таких случаях от правил Yara, основанных на сканировании вредоносных файлов, нет никакого толку.

ASTERA