De 5 meest voorkomende malwaretechnieken in 2024

Tactiek, technieken en procedures (TTP’s) vormen de basis van moderne verdedigingsstrategieën. In tegenstelling tot Indicators of Compromis (IOC’s) zijn TTP’s stabieler, waardoor ze een betrouwbare manier zijn om specifieke cyberdreigingen te identificeren. Hier zijn enkele van de meest gebruikte technieken, volgens het Q3 2024-rapport van ANY.RUN over malwaretrends, compleet met voorbeelden uit de praktijk.

Windows-gebeurtenisregistratie uitschakelen (T1562.002)

Door Windows Event Logging te verstoren, kunnen aanvallers voorkomen dat het systeem cruciale informatie over hun kwaadaardige acties registreert.

Zonder gebeurtenislogboeken blijven belangrijke details zoals inlogpogingen, bestandswijzigingen en systeemwijzigingen niet geregistreerd, waardoor beveiligingsoplossingen en analisten met onvolledige of ontbrekende gegevens achterblijven.

Windows Event Logging kan op verschillende manieren worden gemanipuleerd, onder meer door registersleutels te wijzigen of opdrachten als “net stop eventlog” te gebruiken. Het wijzigen van groepsbeleid is een andere veelgebruikte methode.

Omdat veel detectiemechanismen afhankelijk zijn van loganalyse om verdachte activiteiten te identificeren, kan malware langere tijd onopgemerkt blijven.

Voorbeeld: XWorm schakelt servicelogboeken voor externe toegang uit

Om verschillende soorten kwaadaardige TTP’s in een veilige omgeving te detecteren, observeren en analyseren, kunnen we de interactieve sandbox van ANY.RUN gebruiken. De service biedt zeer configureerbare Windows- en Linux-VM’s waarmee u niet alleen malware tot ontploffing kunt brengen en de uitvoering ervan in realtime kunt zien, maar er ook mee kunt communiceren, net als op een standaardcomputer.

Dankzij het volgen van alle systeem- en netwerkactiviteiten kunt u met ANY.RUN eenvoudig en snel kwaadaardige acties identificeren, zoals het uitschakelen van Windows Event Logging.

Bekijk deze analysesessie waarin XWorm, een wijdverbreide trojan voor externe toegang (RAT), T1562.002 gebruikt.

Het wijzigt met name het register om traceerlogboeken uit te schakelen voor RASAPI32, dat verantwoordelijk is voor het beheer van RAS-verbindingen op het systeem.

Door ENABLEAUTOFILETRACING en andere registernamen gerelateerd aan RASAPI32 in te stellen op 0, zorgt de aanvaller ervoor dat er geen logbestanden worden gegenereerd. Dit maakt het voor beveiligingssoftware zoals antivirusprogramma’s moeilijker om het incident te identificeren.

Analyseer gratis malware- en phishing-bedreigingen in de cloud-sandbox van ANY.RUN.

Gebruik alle PRO-functies met een proefperiode van 14 dagen

PowerShell-exploitatie (T1059.001)

PowerShell is een scripttaal en opdrachtregelshell die in Windows is ingebouwd. Aanvallers maken er doorgaans misbruik van om allerlei kwaadaardige taken uit te voeren, waaronder het manipuleren van systeeminstellingen, het exfiltreren van gegevens en het tot stand brengen van permanente toegang tot aangetaste systemen.

Bij gebruik van de uitgebreide mogelijkheden van PowerShell kunnen bedreigingsactoren gebruik maken van verduisteringstechnieken, zoals coderingsopdrachten of geavanceerde scriptmethoden, om detectiemechanismen te omzeilen.

Voorbeeld: BlanGrabber gebruikt PowerShell om detectie uit te schakelen

Overweeg deze analyse van een BlankGrabber-voorbeeld, een malwarefamilie die wordt gebruikt voor het stelen van gevoelige gegevens van geïnfecteerde systemen. Na de uitvoering start het kwaadaardige programma verschillende processen, waaronder PowerShell, om de systeeminstellingen te wijzigen en detectie te voorkomen.

ANY.RUN identificeert onmiddellijk alle activiteiten van de malware en presenteert deze in detail. BlankGrabber gebruikt onder meer PowerShell om het Inbraakpreventiesysteem (IPS), OAV-bescherming en Real-time Monitoring-services van het Windows-besturingssysteem uit te schakelen. De sandbox toont ook de inhoud van de opdrachtregel, met de daadwerkelijke opdrachten die door de malware worden gebruikt.

Misbruik van Windows Command Shell (T1059.003)

Aanvallers maken ook vaak misbruik van de Windows Command Shell (cmd.exe), een andere veelzijdige tool die wordt gebruikt voor legitieme administratieve taken, zoals het beheren van bestanden en het uitvoeren van scripts. Het wijdverbreide gebruik ervan maakt het een aantrekkelijke keuze om schadelijke acties te verbergen.

Door gebruik te maken van de opdrachtshell kunnen aanvallers allerlei kwaadaardige opdrachten uitvoeren, van het downloaden van payloads van externe servers tot het uitvoeren van malware. De shell kan ook worden gebruikt om PowerShell-scripts uit te voeren om verdere kwaadaardige activiteiten uit te voeren.

Omdat cmd.exe een vertrouwd en veelgebruikt hulpprogramma is, kunnen kwaadaardige opdrachten samengaan met legitieme activiteiten, waardoor het voor beveiligingssystemen moeilijker wordt om bedreigingen in realtime te identificeren en erop te reageren. Aanvallers kunnen ook verduisteringstechnieken gebruiken binnen hun opdrachten om detectie verder te voorkomen.

Voorbeeld: Lumma gebruikt CMD bij de uitvoering van de payload

Kijk eens naar de volgende analyse van Lumma, een veelgebruikte informatiedief die sinds 2022 actief is.

ANY.RUN geeft ons een diepgaand inzicht in de bewerkingen die door de malware worden uitgevoerd via cmd. Deze omvatten het starten van een applicatie met een ongebruikelijke extensie en het aanbrengen van wijzigingen in de uitvoerbare inhoud, wat erop wijst dat het proces door aanvallers wordt misbruikt.

Wijziging van registerrunsleutels (T1547.001)

Om ervoor te zorgen dat de schadelijke software automatisch wordt uitgevoerd wanneer een systeem wordt opgestart, voegen aanvallers vermeldingen toe aan specifieke registersleutels die zijn ontworpen om programma’s te starten bij het opstarten.

Schadelijke bestanden kunnen ook in de opstartmap worden geplaatst, een speciale map die Windows automatisch scant en programma’s uitvoert wanneer de gebruiker zich aanmeldt.

Door gebruik te maken van Registry Run Keys en de Startup Folder kunnen aanvallers hun persistentie op de lange termijn handhaven, waardoor ze hun kwaadaardige activiteiten kunnen voortzetten, zoals data-exfiltratie, laterale verplaatsing binnen een netwerk of verdere exploitatie van het systeem.

Voorbeeld: Remcos krijgt persistentie via de RUN-sleutel

Hier is een voorbeeld van deze techniek uitgevoerd door Remcos. In dit geval is de registersleutel die wordt gewijzigd HKEY_CURRENT_USERSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN.

Door een vermelding toe te voegen aan de RUN-sleutel in het register, zorgt de Remcos-backdoor ervoor dat deze automatisch start bij elke nieuwe login. Hierdoor kan de malware persistentie op het geïnfecteerde systeem behouden.

Op tijd gebaseerde ontwijking (T1497.003)

Op tijd gebaseerde ontwijking is een techniek die door malware wordt gebruikt om detectie door beveiligingsoplossingen die afhankelijk zijn van sandboxing te voorkomen. Veel sandboxen hebben beperkte monitoringperioden, vaak slechts enkele minuten. Door de uitvoering van kwaadaardige code te vertragen, kan malware detectie tijdens deze periode vermijden.

Een ander veelvoorkomend doel van deze TTP is om de malware tijdens de eerste analyse goedaardig te laten lijken, waardoor de kans kleiner wordt dat deze als verdacht wordt gemarkeerd. Het uitstellen van de uitvoering kan het voor gedragsanalysetools moeilijker maken om het initiële goedaardige gedrag te correleren met de daaropvolgende kwaadaardige activiteiten.

Malware is vaak afhankelijk van meerdere componenten of bestanden om het infectieproces uit te voeren. Vertragingen kunnen helpen bij het synchroniseren van de uitvoering van verschillende delen van de malware. Als de malware bijvoorbeeld extra componenten van een externe server moet downloaden, kan een vertraging ervoor zorgen dat deze componenten volledig worden gedownload en gereed zijn voordat de hoofdpayload wordt uitgevoerd.

Sommige kwaadaardige activiteiten kunnen afhankelijk zijn van de succesvolle voltooiing van andere taken. Het introduceren van vertragingen kan helpen deze afhankelijkheden te beheersen en ervoor te zorgen dat elke stap in het infectieproces in de juiste volgorde wordt voltooid.

Voorbeeld: DCRAT vertraagt ​​de uitvoering tijdens een aanval

Dark Crystal RAT is een van de vele malwarefamilies die afhankelijk zijn van op tijd gebaseerde ontwijkingstechnieken om onder de radar te blijven op het geïnfecteerde systeem.

In de context van de volgende sandboxsessie kunnen we observeren hoe DCRAT slechts 2000 milliseconden (dat is 2 seconden) in slaap blijft voordat de uitvoering wordt voortgezet. Dit wordt waarschijnlijk gedaan om ervoor te zorgen dat alle bestanden die nodig zijn voor de volgende fase van het infectieproces gereed zijn voor uitvoering.

Een andere tijdgebaseerde ontwijkingspoging van DCRAT die door ANY.RUN wordt gedetecteerd, is het gebruik van de legitieme tool w32tm.exe om het uitvoeringsproces te vertragen.

Analyseer malware met ANY.RUN Sandbox

ANY.RUN biedt een cloudgebaseerde sandbox voor het analyseren van malware- en phishing-bedreigingen, die snelle en nauwkeurige resultaten oplevert om uw onderzoeken te verbeteren. Met de geavanceerde functies kunt u vrijelijk communiceren met ingediende bestanden en URL’s, evenals met het systeem, om dieper in de dreigingsanalyse te gaan.

  • Upload eenvoudig een bestand of URL om het analyseproces te starten
  • De detectie van bedreigingen duurt minder dan 60 seconden
  • De service haalt snel diepgaande inzichten in het gedrag van malware en genereert bedreigingsrapporten
  • Typ, open koppelingen, download bijlagen, voer programma’s uit, allemaal binnen de VM
  • Gebruik de privéanalysemodus en tools voor teamsamenwerking

Integreer de sandbox van ANY.RUN in de workflow van uw organisatie met een gratis proefperiode van 14 dagen om alles wat het te bieden heeft uit te proberen.

Thijs Van der Does