Wouter Hoeffnagel - 15 januari 2020

Nieuwe bestandsloze backdoor is vrijwel onzichtbaar

Nieuwe bestandsloze backdoor is vrijwel onzichtbaar image

SentinelLabs, de research-tak van SentinelOne, heeft een nieuwe tool ontdekt die door de Russische cybercrime organisatie Trickbot is ontwikkeld. De bestandsloze backdoor is PowerTrick gedoopt, en kan vrijwel ongezien worden toegepast in hoogwaardige netwerken zoals die van financiële instellingen. PowerTrick is flexibel en effectief waardoor aanvallers die het gebruiken als het ware in stealth-modus te werk gaan. PowerTrick omzeilt de beschermende maatregelen en past zich aan aan de bestaande security-controls om zo streng beveiligde netwerken binnen te komen.

De onderzoekers SentinelOne, met aan het hoofd security-expert Vitali Kremez, vonden eerder deze maand al een connectie tussen Russische hackers en de inbraak bij de Universiteit van Maastricht. Of daarbij ook gebruik is gemaakt van PowerTrick is nog niet duidelijk. Trickbot lag al onder het vergrootglas bij de onderzoekers na hun vondst van het Anchor Project in december, een all-in-one toolkit om bedrijven op maat aan te vallen.

Zakelijke omgevingen zijn het doelwit

Trickbot richtte zich initieel op bankfraude. Inmiddels is de focus echter verschoven naar zakelijke omgevingen met gebruik van netwerk profiling, massale dataverzameling en inzet van laterale exploits. Ook de inzet van malware en andere technieken onderstreept deze strategische verandering, vergelijkbaar met een legitieme organisatie die van koers verandert afhankelijk van waar het meeste geld mee te verdienen is.

PowerTrick is een backdoor gebaseerd op PowerShell, de scripttaal van Microsoft voor het automatiseren van de taken en beheren van configuraties. De eerste infecties vindt plaats als een PowerShell-opdracht middels een normale TrickBot-infectie die gebruikmaakt van een hergebruikte backconnect module geheten 'NewBCtest' die uitvoercommando’s kan accepteren. Na deze eerste fase wordt de opdracht gegeven een grotere backdoor te downloaden; dit proces is vergelijkbaar met wat er te zien is in PowerShell Empire met de verschillende stages. Daarnaast zagen de onderzoekers dat ook gebruikelijke functies van PowerShell werden ingezet om de aanval verder vorm te geven.

Verdere technische details zijn te vinden op de Labs-sectie van het SentinelOne blog.

Copaco | BW 25 maart tm 31 maart 2024 Trend Micro BW BN week 10-11-13-14-2024
Copaco | BW 25 maart tm 31 maart 2024