image

Microsoft waarschuwt voor aanval met lnk-bestanden

dinsdag 9 juli 2019, 10:01 door Redactie, 6 reacties

Microsoft waarschuwt gebruikers voor een aanvalscampagne waarbij lnk-bestanden worden gebruikt om een backdoor op systemen te installeren. De aanval begint met een e-mail die naar een malafide url met documenten, certificaten of bestellingen lijkt te wijzen.

Zodra de gebruiker op de link klikt krijgt die een zip-bestand aangeboden. Dit zip-bestand bevat het kwaadaardige lnk-bestand genaamd certidao.htm.lnk. Lnk-bestanden worden vaak als snelkoppeling op het bureaublad gebruikt, maar kunnen ook scripts aanroepen die vervolgens malware op het systeem installeren. In het geval van de aanval waarvoor Microsoft waarschuwt maken de aanvallers ook nog eens gebruik van een dubbele extensie. Windows laat standaard extensies niet zien, waardoor slachtoffers kunnen denken dat het om een htm-bestand gaat.

Het openen van het lnk-bestand zorgt ervoor dat de Astaroth-backdoor wordt geïnstalleerd. Deze backdoor is ontwikkeld voor het stelen van gevoelige informatie van systemen, zoals wachtwoorden, toetsaanslagen en andere data, die vervolgens naar de aanvaller worden gestuurd. Met deze gestolen data kan de aanvaller zich lateraal door het netwerk van de aangevallen organisatie bewegen, financiële fraude plegen of gegevens van het slachtoffer aan andere criminelen verkopen, aldus Microsoft, dat de malware detecteert.

Image

Reacties (6)
09-07-2019, 11:54 door Bitje-scheef
It’s interesting to note that at no point during the attack chain is any file run that’s not a system tool. This technique is called living off the land: using legitimate tools that are already present on the target system to masquerade as regular activity.

https://www.microsoft.com/security/blog/2019/07/08/dismantling-a-fileless-campaign-microsoft-defender-atp-next-gen-protection-exposes-astaroth-attack/


Het mooie is dat deze malware standaard windows dll's gebruikt (weliswaar manipuleert) die al aanwezig zijn op je windows installatie (beheer). ik voel weer wat nare updates aankomen.
09-07-2019, 12:06 door Anoniem
Blokkeer WMIC toegang tot het publieke netwerk.

De extensie lnk werd natuurlijk al geblokkeerd op de mail scanner.
09-07-2019, 12:50 door Anoniem
Door Bitje-scheef:
It’s interesting to note that at no point during the attack chain is any file run that’s not a system tool. This technique is called living off the land: using legitimate tools that are already present on the target system to masquerade as regular activity.

https://www.microsoft.com/security/blog/2019/07/08/dismantling-a-fileless-campaign-microsoft-defender-atp-next-gen-protection-exposes-astaroth-attack/


Het mooie is dat deze malware standaard windows dll's gebruikt (weliswaar manipuleert) die al aanwezig zijn op je windows installatie (beheer). ik voel weer wat nare updates aankomen.
BAT file, meerdere JavaScript files. Hoewel daar interpreters aan te pas komen die op het aangevallen systeem staan ben ik toch echt gewend om scripts tot uitvoerbare code te rekenen. Zo "fileless" is het in mijn ogen niet.
09-07-2019, 13:09 door Bitje-scheef
Door Anoniem: Blokkeer WMIC toegang tot het publieke netwerk.

De extensie lnk werd natuurlijk al geblokkeerd op de mail scanner.

Zip files -> 6 lagen diep...? De meeste scanners stoppen na paar lagen diep anders kost het teveel CPU kracht.
09-07-2019, 13:30 door Bitwiper
Door Anoniem: De extensie lnk werd natuurlijk al geblokkeerd op de mail scanner.
De mail bevat een URL naar de zipfile; er is geen sprake van een e-mail bijlage die jouw mail scanner eruit kan vissen.

Overigens heeft het op de standaard manier aanzetten van het tonen van bestandsnaamextensies geen zin, want dan worden enkele extensies zoals .lnk en .pif nog steeds niet getoond. Zoek op internet naar ShowSuperHidden als je alle extensies wilt zien.
09-07-2019, 14:11 door Anoniem
Door Bitje-scheef:
Door Anoniem: Blokkeer WMIC toegang tot het publieke netwerk.

De extensie lnk werd natuurlijk al geblokkeerd op de mail scanner.

Zip files -> 6 lagen diep...? De meeste scanners stoppen na paar lagen diep anders kost het teveel CPU kracht.

Nee, dat doen de meeste goede scanners niet. Er is wel een maximum aan de diepte of het aantal elementen. In zo'n geval dient een dergelijk email bericht in quarantaine te worden geplaatst of geweigerd/gebokkeerd. Het is niet zo moeilijk, behalve als je alles hebt uitbesteed en niemand in de organisatie meer er over weet dan hoe die z'n veters moet knopen.

@Bitwiper Goede punten, maar wat voor een email scanner geldt, geldt ook voor web scanner.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.