image

Cisco: fileless malware vormt grootste bedreiging voor endpoints

dinsdag 22 september 2020, 11:56 door Redactie, 3 reacties

De grootste bedreiging voor de beveiliging van endpoints is fileless malware. Dat concludeert Cisco na onderzoek van telemetriegegevens van de eerste helft van 2020. Fileless malware is een soort kwaadaardige software die werkt vanuit het geheugen van de pc van het slachtoffer, niet vanuit bestanden op de schijf. Dit maakt het moeilijker om te detecteren omdat er geen bestanden zijn om te scannen. Ook maakt het forensisch onderzoek moeilijker omdat de malware gewoon verdwijnt wanneer de computer van het slachtoffer opnieuw wordt opgestart.

Uit de cijfers van Cisco blijkt dat fileless malware goed is voor 30 procent van de beveiligingsmeldingen. Hiervoor wordt vaak Kovter, Poweliks, Divergent en LemonDuck gebruikt.

Een andere serieuze bedreiging vormen de zogenoemde dual-use tools, de apps die door de aanvaller voor zowel de exploitatie als daarna kunnen worden gebruikt. Voorbeelden van dual-use tools zijn PowerShell Empire, Cobalt Strike, Powersploit en Metasploit, die ook vaak worden gebruikt door bij pentesters.

De derde grote bedreiging die Cisco is tegengekomen, is ‘credential dumping’, oftewel een tool om op gecompromitteerde pc’s op zoek te gaan naar login-gegevens. Dit wordt hoofdzakelijk gedaan met behulp van Mimikatz.

Deze drie categorieën bedreigingen vormen samen ongeveer driekwart van alle beveiligingsmeldingen, schrijft Ben Nahorney op het Cisco-blog. De overige 25 procent bestaat uit onder meer ransomware, wormen zoals Ramnit en Qakbot, remote access trojans en bank trojans.

Reacties (3)
23-09-2020, 17:04 door Anoniem
File less malware...ja dat is echt wel een probleem. Erg lastige "troep"
24-09-2020, 00:10 door Anoniem
Moguh Cisco!

File less attacks bestaan al zoon 3 jaar. (Living of the land) word hierbij het meeste gebruikt. Een pentester gebruikt de al bestaande tools op een OS (powershell in memory running of code, wmi, etc) om bepaalde tools af te trappen en indd credentials te dumpen. Hierom is er een fileless versie van Mimikatz ontwikkeld.

Stuur een simpel word/excell bestand met een macro, phish/mail een admin user, admin lvl reverse shell, dump creds, game over, athans opzenminst goed op weg.

Maar dit soort attacks hou je meestal niet met een AV tegen maar met powershell tweaks zoals policy's en het tegengaan van gebruik van powershell en uitvoering van powershell scripting.

Wat je wel kan doen als bedrijf is Powershell logging uitvoeren en dit enforcen met hele hoge rechten. Hierin kan je zien wie welke codo uitgevoerd heeft (dus ook de powershell malware). Holyshit wscht de logging is static? nauwww kunnen we daar weer signature based detectie op doen.

Gasten ik ben een jaar 2 student van een hacking opleiding en deze gasten zitten al 100 jaar in het vakgebied. Misschien iets anders kopen dan cisco for once? Cisco schapen kom ik al tegen sinds me MBO.

sorry voor de rant :)
28-09-2020, 10:52 door Anoniem
Een beetje AV scant ook het geheugen van een endpoint. Als die dat niet doet is het tijd voor iets anders. Het is echt een enorme misvatting om te denken dat elke antivirus in de basis hetzelfde is. Het is ook niet zo dat betere detectie altijd leidt tot meer false-positives en hogere systeembelasting.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.