image

Windows RAT door nieuwe truc lastig te detecteren

vrijdag 31 oktober 2014, 14:13 door Redactie, 4 reacties

Een nieuwe Remote Administration Tool (RAT) voor Windows waarmee aanvallers volledige controle over het systeem kunnen krijgen gebruikt een nieuwe aanvalsmethode en is daardoor voor zowel beveiligingssoftware als gebruikers zeer lastig te detecteren.

COMpfun, zoals de RAT wordt genoemd, kaapt een legitiem COM-object in Windows om zich in de processen op de besmette computer te laten injecteren. Daarbij zijn beheerdersrechten voor het kapen van het COM-object niet vereist. "Met deze RAT zouden aanvallers vrij lang een geïnfecteerd systeem kunnen bespioneren, aangezien het mechanisme om detectie te omzeilen zeer geavanceerd is", zegt Paul Rascagneres van het Duitse anti-virusbedrijf G Data.

Via een COM (Component Object Model) kunnen ontwikkelaars objecten van andere programma's controleren en manipuleren. Volgens Rascagneres heeft het gebruik van COM verschillende voordelen. Een aanvaller hoeft geen DLL-bestanden te injecteren, iets wat vaak door virusscanners wordt herkend. Een ander voordeel is dat zodra de infectie succesvol is, Windows vervolgens de malware in de processen van de geïnfecteerde gebruiker uitvoert.

Dat maakt het lastig om het aanvalsproces te identificeren. De COM-kaping werd bijvoorbeeld niet door het populaire programma Autoruns van Microsoft Sysinternals ontdekt. Via de RAT kunnen aanvallers bestanden up- en downloaden, screenshots maken, toetsaanslagen opslaan, bestanden uitvoeren en nog veel meer. Hoe de malware zich verspreidt en waar die werd ontdekt laat G Data niet weten.

Reacties (4)
31-10-2014, 15:22 door [Account Verwijderd] - Bijgewerkt: 31-10-2014, 15:28
[Verwijderd]
31-10-2014, 17:06 door Anoniem
Dus EMET helpt hier ook niet?
01-11-2014, 11:06 door Anoniem
Door Picasa3: Als ik het verhaal goed begrijp, dan is het blokkeren van deze CLSID's geen optie voor Windows-gebruikers. Veel legitieme programma's maken er gebruik van.
? Leg uit wat je met "blokkeren van deze CLSID's" bedoelt?


Door Anoniem: Dus EMET helpt hier ook niet?
Een degelijke AV beschermt hier gewoon tegen, er is nog altijd een kwaadaardig bestand, er moeten nog altijd wijzigingen in het register worden aangebracht en er zijn nog steeds ongebruikelijke verbindingen met een C&C-server na infectie, om maar wat te noemen.

Dit trucje is dan ook vooral bedoeld om analyse te bemoeilijken, en vooral ook om de detectie van het proces zelf te omzeilen, dus nadat een toch al kwetsbaar systeem is aangevallen via reeds bekende methoden.
03-11-2014, 09:06 door Mysterio
Werkt keurig onder de rechten van de gebruiker, dus werken met beperkte rechten voorkomt wederom een hoop gedoe.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.