"RAM leegzuigen wel wapen van hackers"
Een waarschuwing van Verizon over RAM-schrapers die creditcardgegevens en pincodes stelen zorgde voor kritiek van de Britse virusbestrijder Sophos, maar volgens de IT-dienstverlener vormt het leegzuigen van het geheugen door malware wel degelijk een risico. Aanvallers zouden de malware voornamelijk gebruiken voor aanvallen op Point-of-Sale servers bij winkels, retailers en hotels. Verizon noemde RAM-schrapers een vrij nieuwe vorm van malware die lastig door virusscanners is op te merken, iets wat volgens Sophos niet waar is. Het wegschrijven van malware direct naar het geheugen zou al jaren voorkomen.
Uitdaging
Volgens Verizon is het gebruik van de malware bij de aanvallen die het onderzocht wel nieuw. "We suggereren niet dat het concept zelf nieuw is." Daarbij vormt het wel een uitdaging, omdat het weer een tool is waarmee aanvallers de beveiliging kunnen omzeilen en vertrouwelijke gegevens kunnen compromitteren. Aangezien aanvallers de RAM-schrapers voor elke aanval op maat maken, weten virusscanners die niet te detecteren. "De voornaamste infectievector voor RAM-schrapers bij de zaken die wij zagen, was installatie door de aanvaller nadat die het systeem al had overgenomen, en zo de virusscanner wist te omzeilen."
Toch zijn virusscanners geen verspilling van tijd en geld, aldus Verizon. "Het is een belangrijke verdedigingslinie en de voornaamste reden waarom we zo weinig zaken met e-mail of netwerk-wormen onderzoeken." Wat betreft RAM-schrapers is het beter om infectie in eerste instantie te voorkomen, dan de besmetting achteraf te detecteren. Sophos stelde ook de vraag wat onverwachte software op een Point-of-Sale server doet. Verizon heeft daar geen oordeel over, maar bevestigt dat het RAM-schrapers op POS-servers heeft ontdekt die niet door virusscanners werden opgemerkt.
Virusscanners zijn makkelijk te misleiden, of het nu gaat om RAM-suckers, trojans, malware enz enz. Uiteindelijk worden nieuwe definities toegevoegd wanneer de code in "the wild" wordt gebruikt. Echter de unieke code die alleen voor gerichte aanvallen wordt kan dus voor onbepaalde tijd onopgemerkt blijven, en op die manier niet door virusscanner worden opgepakt......
Heeft Sophos nooit gehoord van insider threats ? Of van inbraken om systemen te manipuleren (gebeurt bijvoorbeeld bij skimming). Wat dat betreft hoeft malware niet van het internet te komen; het kan intentioneel worden geplaatst, en zeker bij targetted malware is dit niet bepaald ondenkbaar. Wel kan je je afvragen of op ieder POS systeem antivirus software draait danwel geinstalleerd kan worden, als klant heb je i.i.g. vaak geen toegang tot het operating system.
Verder is het zonder meer een feit dat Sophos, en de rest van de antivirus industrie, nog niet erg veel te bieden hebben wanneer er sprake is van targetted malware, zeker wanneer het gaat om code die geschreven is voor een aanval op een specifiek bedrijf. Immers is er dan geen code voor handen op basis waarvan men signatures kan schrijven, en heuristic scanning ondervangt maar een klein gedeelte van onbekende malware.
Het lijkt me relatief eenvoudig om hier iets tegen te doen. Maar zoals zo vaak ligt het voornamelijk bij de ontwikkelaars van de software die dergelijke gevoelige gegevens verwerken. Geheugen moet je zo kort mogelijk gebruiken met deze info. Je moet ook zorgen dat het geheugen niet naar disk geswapt kan worden (virtueel geheugen). En in plaats van alleen het gereserveerde geheugen weer vrij te geven wanneer het niet meer nodig is zul je het geheugen een keertje moeten overschrijven met willekeurige data. Als je een geheugen regio vrij geeft blijft de data die daar in staat gewoon intact namelijk. Dit gebeurd op een zelfde wijze als het verwijderen van een bestand op schijf. De data zelf staat er nog, alleen de verwijzingen er naar worden verwijderd.
Volgens mij bedoelen ze dat de malware zichzelf direct naar het geheugen wegschrijft/kopieert (ipv naar de schijf). Iets wat een virusscanner moet voorkomen.Dit wordt bevestigd in de door jou aangehaalde tekst.
Volgens mij bedoelen ze dat de malware zichzelf direct naar het geheugen wegschrijft/kopieert (ipv naar de schijf). Iets wat een virusscanner moet voorkomen.Dit wordt bevestigd in de door jou aangehaalde tekst.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
