Simovits

Ett legitimt malware

IT-säkerhet kan ses som en ständig kamp mellan illasinnade hackare och IT-säkerhetstekniker.
Nya attackvektorer identifieras ständigt och i gengäld kommer nya skydd för att täppa igen attackvektorerna.

Vi har på senare tid observerat varianter av malware som utnyttjar legitima webbtjänster för att sprida sig eller utföra kommandon. Jag kommer i den här bloggen berätta om olika malware som använder legitima webbtjänster i olika syften. Jag kommer även gå in på svårigheterna som medföljer vid analyser av denna typ av malware.

Vad är en legitim webbtjänst?
En legitim webbtjänst syftar på en tjänst som tillhandahålls av en organisation eller bolag och som är tänkt att användas i icke-illasinnat syfte. Exempel på detta skulle vara Dropbox, Azure Cloud, GitHub, etc.

Monero-mining med hjälp av GitHub

I takt med att kryptovaluta-boomen inträffade så observerade vi en lavinartad ökning av malware som utnyttjade infekterade datorers datorkraft för att utvinna Monero eller liknande kryptovaluta. Denna typ av malware kallas också Cryptojackers. Medan Cryptojackers spridits på många sätt så fångade en specifik variant min uppmärksamhet. Denna variant utnyttjade källkodshanterings-plattformen GitHub som spridningsplattform och hackaren kunde på det sättet kringgå steget att upprätta sin egen distributionsserver och i samma veva dölja sina spår på internet.

Viruset spred sig via reklambanners som förekom på sidor med webbspel och pornografiskt innehåll. När användaren klickade på länken så dirigerades de vidare till ett GitHub-lager där den skadliga koden laddas ner från. Väl inne på datorn så laddade den skadliga koden ner ett Google Chrome-plugin som såg till att användarens dator alltid utvann kryptovaluta åt angriparen. Oavsett vilken hemsida användaren besökte.

Zeus besöker Amazon

Banktrojanen Zeus har förekommit i många varianter under en lång tid. Den skadliga koden har många funktioner som bland annat tillåter angriparen att läsa av knapptryck, utvinna kryptovaluta med hjälp av den smittades dator eller agera som en fjärrstyrningstjänst för angriparen. I sina tidigare dagar användes Zeus främst för att kapa bankinloggningsuppgifter, varefter trojanen blivit känd som en banktrojan.

Under 2017 observerade Spamhaus-projektet en enorm ökning av Command & Control (C&C)-servrar som låg i Amazon Cloud. Många av dessa C&C-servrar kunde kopplas till Zeus.

Spamhaus undersökning av antalet nyupptäckta C&C-servrar i molnet

En bild säger mer än tusen ord

Under vintern 2018 så upptäcktes ett malware som inhämtade kommandon via Twitter-upplägg. Angriparen hade utnyttjat steganografiska metoder för att dölja kommandon i bilder som därefter laddades upp på Twitter. Bilderna innehöll bland annat kommandon för att skärmbilder på de infekterade datorerna och ladda upp dessa på angriparens server. Genom att använda denna metod kunde angriparen ge kommandon till de infekterade klienterna utan att väcka misstankar med trafik mot annars suspekta C&C-servrar.

Bilden visar det Twitter-konto varifrån bilderna med de dolda kommandona laddats upp.

Slutsats

För oss säkerhetsanalytiker innebär dessa varianter av malware en ökad svårighet vid analys. Vid fall då viruset kommer förbi antivirus så kan fortsatt kommunikation förbli oupptäckt då anrop mot annars legitima tjänster lätt försvinner i mängden. Det är därmed viktigt att tänka på att bygga upp nätverkssäkerheten i lager. Bland annat kan följande tips vara till nytta:

  1. Se till att antivirusdefinitioner uppdateras med jämna mellanrum.
  2. Logga utgående och inkommande nätverkstrafik och se till att inhämta uppdaterade och relevanta IOC:er.
  3. Utbilda personal inom säkerhet och följ konstant upp/förnya utbildningen.