Redactie - 21 augustus 2020

Scriptgebaseerde malware is nieuwe hacktrend in Internet Explorer

In de afgelopen maanden heeft Unit 42, het threat intelligence team van Palo Alto Networks, geavanceerde scriptgebaseerde malware gedetecteerd via browser-exploits van Internet Explorer (IE) die het Windows Operating System (OS) infecteert. Scriptgebaseerde malware blijkt een aantrekkelijke manier voor hackers om computers binnen te dringen.

Twee voorbeelden
Hackers hebben met scripttalen flexibele en toegankelijke tools om gemakkelijk geavanceerde malware te maken. Om dit aan te tonen, heeft Unit 42 twee voorbeelden gekozen van scriptgebaseerde malware die wordt gebruikt om Windows OS-gebruikers te infecteren. Deze voorbeelden vond Unit 42 in twee verschillende bronnen, maar kwamen uit dezelfde IE-browser-exploit van de kwetsbaarheid CVE-2019-0752.

Het eerste voorbeeld is een JScript Remote Access Trojan (RAT) die zorgt voor aanhoudende aanvallen op het doelsysteem en vervolgens een gecodeerde netwerkverbinding gebruikt om verbinding te maken met de hacker. Daarna kan de hacker willekeurige commando's op de doelcomputer uitvoeren om er mogelijk volledige controle over te hebben. Het tweede voorbeeld is een AutoIT-downloader die netwerkverbinding en scriptfuncties gebruikt om malware te downloaden en uit te voeren, die kan worden gebruikt om gerichte systemen te infecteren met malware zoals ransomware, spyware enzovoort.

Waarom scripts gebruiken?
De vraag die Unit 42 zich stelde was: waarom kiest een hacker een script in plaats van een gewoon uitvoerbaar bestand?

Allereerst zijn scripttalen zoals JScript, VBScript en zelfs AutoIT oorspronkelijk gemaakt om de uitvoering van taken in de Windows-omgeving te automatiseren en te vereenvoudigen, en daarom hebben deze talen meerdere functies om het aanroepen van Windows API’s te vergemakkelijken. Vanwege het gebruiksgemak van deze functies is het voor een hacker vrij eenvoudig om een netwerkverbinding tot stand te brengen of om te communiceren met de Windows-omgeving, bijvoorbeeld om shell-opdrachten uit te voeren.

Scripttalen zijn ook vaak van een hoger niveau dan C of C ++, en zijn gemakkelijker te leren en toegankelijker voor hackers. Met slechts een paar regels code kunnen hackers een werkend en flexibel kwaadaardig programma bouwen met veel functies zoals netwerkverbinding en uitvoering van opdrachten.

Bovendien kunnen aanvallers veel verschillende technieken en tools gebruiken om hun kwaadaardige scripts te verhullen. Dit kunnen heel eenvoudige tools zijn, zoals de scriptcodering van Microsoft, wanneer de aanvaller primair op zoek is naar snelle resultaten, of het kan de vorm aannemen van zeer zware vertroebelingen die voor analisten een uitdaging zullen zijn om te kunnen tracken.

Ten slotte stellen kwaadaardige scripts hackers in staat om zich haast ondetecteerbaar te maken als ze dat willen, wat betekent dat de kwaadaardige scripts verschillende soorten detecties kunnen omzeilen en zo anti-malwaretechnologieën kunnen omzeilen. Zodra de op scripts gebaseerde malware door beveiligers is gedetecteerd en als malware is getagd, is het voor hackers gemakkelijker en sneller om nieuwe varianten van hun malware te ontwikkelen om vervolgens die detecties weer te omzeilen als ze scripttalen gebruiken.

Copaco | BW 25 maart tm 31 maart 2024 Trend Micro BW BN week 10-11-13-14-2024
Copaco | BW 25 maart tm 31 maart 2024