Zrozumieć złośliwe bezplikowe oprogramowanie poza siecią
W ciągu ostatniego roku, bezplikowe złośliwe oprogramowanie było bardzo popularnym tematem w środowisku cyberbezpieczeństwa. Malware stał się jedną z najbardziej znanych kategorii. Według Cisco ataki tego typu były najczęstszym zagrożeniem dla Endpointów (pierwsza połowa 2020 roku). By skutecznie przeciwdziałać złośliwemu oprogramowaniu organizacje muszą zrozumieć jego praktyczne działanie. Marc Laliberte, starszy analityk ds. bezpieczeństwa, w jednym ze swoich najnowszych artykułów dla Help Net Security dąży do zgłębienia tego tematu. Nawiązuje do tekstu WatchGuarda Anatomy of an Endpoint Attack. Omawia on podstawy dotyczące bezplikowego, złośliwego oprogramowania, badając rzeczywistą infekcję, którą WatchGuard Threat Lab powstrzymał.
Fragment cytatu:
Chociaż większość złośliwego oprogramowania bezplikowego zaczyna się od jakiejś formy File Droppera, to istnieją bardziej podstępne, zaawansowane warianty, które nie wymagają nawet pliku. Takie przypadki mają dwie drogi powstania:
1. Wykorzystuje się lukę w aplikacji.
2. Następuje kradzież danych uwierzytelniających, w celu nadużyć w aplikacji, która jest połączona z siecią. Kolejno uruchomia się polecenia systemowe (zdarza się częściej).
WatchGuard Threat Lab z powodzeniem zidentyfikował infekcję, która wykorzystywała drugą technikę. Zbadano alert wygenerowany przez konsolę Panda AD360, połączono wskaźniki oraz telemetrię z Endpointów serwera w środowisku “niedoszłej” ofiary. Ta konkretna infekcja miała nietypowy punkt wejścia: Microsoft SQL należący do ofiary. Chociaż podstawową rolą SQL Server jest przede wszystkim przechowywanie rekordów danych, zawiera on również procedury zdolne do wykonywania poleceń systemowych na serwerze. Najlepsze praktyki Microsoftu zalecają używanie kont z ograniczonymi uprawnieniami. Nadal jednak wielu administratorów wdraża SQL Server z podwyższonymi przywilejami konta. Niestety daje to szansę aplikacji baz danych i wszystkim uruchomionym przez nią poleceniom, dlatego można swobodnie zapanować nad serwerem. Jeden z przykładów: przed rozpoczęciem ataku, cyberprzestępca uzyskuje dostęp do poświadczeń i Servera SQL. Najprawdopodobniej udaje mu się to poprzez wysłanie wiadomości typu spear-phishing lub brute-forcing. Później atakuje słabe dane uwierzytelniające. Tym samym uzyskuje dostęp do wykonywania poleceń SQL i tak naprawdę ma kilka możliwości ich uruchomienia.
Źródło: https://www.secplicity.org/2021/01/07/understanding-fileless-malware-outside-the-network/
