Cisco: fileless malware vormt grootste bedreiging voor endpoints
De grootste bedreiging voor de beveiliging van endpoints is fileless malware. Dat concludeert Cisco na onderzoek van telemetriegegevens van de eerste helft van 2020. Fileless malware is een soort kwaadaardige software die werkt vanuit het geheugen van de pc van het slachtoffer, niet vanuit bestanden op de schijf. Dit maakt het moeilijker om te detecteren omdat er geen bestanden zijn om te scannen. Ook maakt het forensisch onderzoek moeilijker omdat de malware gewoon verdwijnt wanneer de computer van het slachtoffer opnieuw wordt opgestart.
Uit de cijfers van Cisco blijkt dat fileless malware goed is voor 30 procent van de beveiligingsmeldingen. Hiervoor wordt vaak Kovter, Poweliks, Divergent en LemonDuck gebruikt.
Een andere serieuze bedreiging vormen de zogenoemde dual-use tools, de apps die door de aanvaller voor zowel de exploitatie als daarna kunnen worden gebruikt. Voorbeelden van dual-use tools zijn PowerShell Empire, Cobalt Strike, Powersploit en Metasploit, die ook vaak worden gebruikt door bij pentesters.
De derde grote bedreiging die Cisco is tegengekomen, is ‘credential dumping’, oftewel een tool om op gecompromitteerde pc’s op zoek te gaan naar login-gegevens. Dit wordt hoofdzakelijk gedaan met behulp van Mimikatz.
Deze drie categorieën bedreigingen vormen samen ongeveer driekwart van alle beveiligingsmeldingen, schrijft Ben Nahorney op het Cisco-blog. De overige 25 procent bestaat uit onder meer ransomware, wormen zoals Ramnit en Qakbot, remote access trojans en bank trojans.
File less attacks bestaan al zoon 3 jaar. (Living of the land) word hierbij het meeste gebruikt. Een pentester gebruikt de al bestaande tools op een OS (powershell in memory running of code, wmi, etc) om bepaalde tools af te trappen en indd credentials te dumpen. Hierom is er een fileless versie van Mimikatz ontwikkeld.
Stuur een simpel word/excell bestand met een macro, phish/mail een admin user, admin lvl reverse shell, dump creds, game over, athans opzenminst goed op weg.
Maar dit soort attacks hou je meestal niet met een AV tegen maar met powershell tweaks zoals policy's en het tegengaan van gebruik van powershell en uitvoering van powershell scripting.
Wat je wel kan doen als bedrijf is Powershell logging uitvoeren en dit enforcen met hele hoge rechten. Hierin kan je zien wie welke codo uitgevoerd heeft (dus ook de powershell malware). Holyshit wscht de logging is static? nauwww kunnen we daar weer signature based detectie op doen.
Gasten ik ben een jaar 2 student van een hacking opleiding en deze gasten zitten al 100 jaar in het vakgebied. Misschien iets anders kopen dan cisco for once? Cisco schapen kom ik al tegen sinds me MBO.
sorry voor de rant :)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.