De 10 mest populære malware-teknikkene for dagens digi-skurker

10 mest populære teknikkene for cyberangrep hos digi-skurkene

I den klassiske filmen Rififi blir juveltyven Tony spurt om å rane en gullsmedbutikk i Paris midt på lyse dagen. Tony ønsker ikke bare smykker og juveler fra display diskene; han vil ha diamantene godt beskyttet inne i butikken. Jobben blir brått mer komplisert og de må klare å bryte seg inn usett, deaktivere et moderne alarmsystem, for til slutt å knekke safen. Tony kontakter sin gamle venn César, en mester innen safecracking, og sammen forbereder de tidenes kupp. Det som senere utspiller seg er en av filmhistoriens beste scener hvor bildene ruller i 30 minutter uten dialog eller musikk, mens vi følger fire innbruddstyver i det de eksekverer sin plan.

Det er nok fortsatt kjeltringer der ute som ønsker å bryte seg inn i safer for å få tak i dyrebare edelstener, men derimot er det få mennesker som evner eller har erfaring med å gjøre denne typen brekk.

I den digitale verdenen er det derimot litt annerledes. Du trenger ikke mye utstyr og det har lave kostnader. Åpne din nøkkelløse bil og starte den? 40 dollar (billigere enn å kjøpe offisiell nøkkel). Duplisering av Mastercard eller tilgangskort til jobben? Det er en gratis app for det. Bygge din egen IMSI catcher? Absolutt. Duppedittene du trenger sendes fra Shenzhen (free shipping). Triks kan kjøpes, bygges, dupliseres, automatiseres og du kan utføre brekkene dine ved å gå over grenser til land som ikke samarbeider. Å spore deg opp er komplisert, tidkrevende og veldig dyrt.

Det finnes flere malware-teknikker man kan ta i bruk for å gjøre dette på en smidig måte. Disse kan det være lurt å være kjent med.

Her er de 10 mest populære malware-metodene:

1.      RANSOMWARE

Det startet med scareware, hvor en skremmende beskjed sa at du hadde besøkt ulovlige sider på nettet og måtte betale en bot ellers vente deg besøk fra onkel blå på døra. Ofte i form av et bilde designet for å se ut som det kom fra en autoritær makt som slik som. PST. Heldigvis kunne du betale med en gang.

Ransomware ble neste generasjon. Skadevaren kommer inn på maskinen via en eller annen kjent svakhet, krypterer diskene dine og ber om løsepenger for at de skal bli dekryptert.

Her sliter man hvis man ikke har backup som man kan restore til. Hvis det som står i fare for å å gå evig tapt er alle familiebilder og videoer fra de største minnene i livet så er det mange som betaler. Selv om det ikke er noen garanti for at du faktisk får dataene tilbake. Når privatpersoner blir offer for dette er det tilfeldig, mens når det gjelder større firmaer, eller personer med høye stillinger i kjente firmaer, så kan det være målrettet.

Ransomware benytter kjente sårbarheter i alt fra OS, middleware eller applikasjoner, og har stor suksess om dagen. Den vanligste årsaken til infeksjon er altså manglende patching eller oppgradering. Vi er flinke til å passe på produksjonservere, men glemmer utv, test og QA og andre systemer som ikke holder noe merket kritisk. Derfor kommer ransomware snikende inn fra siden.

2.      WIPERS

Arvtagerne til ransomware er wipers. I motsetning til ransomware som har økonomisk interesse er wipers et rent destruktivt våpen. Målet er å ødelegge dataene dine ved å hashe eller kryptere de. Ved kryptering blir det benyttet en tilfeldig nøkkel, ofte generert ut i fra hva som er på filsystemet på maskinen, som aldri blir lagret noe sted og ikke er kjent for noen. Dette kan være katastrofalt hvis man ikke har backups.

Jeg får ikke understreket nok hvor viktig det er å ha flere backupsystemer på forskjellige fysiske lokasjoner som regelmessig blir verifisert at de har integriteten i behold.

3.      CRYPTOMINERS

Det begynner å bli ganske mange forskjellige kryptovalutaer der ute og det er mye penger å hente ved å mine. Cryptominers er programvare som miner kryptovaluta og sender funn til noen annens lommebok. Dette er ikke en ondsinnet programvare som nødvendigvis skader systemene de infiserer, men de kan påvirke ytelse ettersom de benytter systemressurser til å utføre gravingen.

Cryptominers kan være svært gunstig ved suksefull utnyttelse av en programvaresvakhet. En strategi som er enklere  og som øker i popularitet, er å bundle cryptomineren med et legetimt program som for eksempel å legge det i et så kalt «docker image». Slurv med å scanne docker images for malware eller sårbarheter før de tas i bruk er det mange som tjener gode penger på.

4.      TROJANS

Det er mange år siden Zeus og Emotet kom på banen, men det som en gang var minimalistiske bank trojanere med mål om å stjele kontoen din har mutert til å bli omfattene angrepsplattformer.

Zeus fikk en arvtager i GameOver Zeus, et kryptert P2P botnet, som distribuerer ransomware og samler inn bankkontobrukernavn og passord.

Emotet har gått enda lenger og fungerer i dag som en loader og distributor. Disse moderniserte trojanerne er MaaS- plattformer (Malware-as-a-Service) som blir videreutviklet og forvaltet. Du kan abonnere på tjenestene mot forskjellige betalingløsninger og bestille ny funksjonalitet. Som kunde får du tilgang til kundeservice via chat og telefonsupport.

5.      BOTNET

Dett handler om DDoS angrep, kryptomining, spionasje og/eller distribusjon av malware. Bruksområdene for Botnets er det bare kreativiteten din som setter begrensninger for. Sårbare maskiner blir tatt over og rapporterer inn til forskjellige C&C (Command & Control) tjenere spredd rundt om i verden.

En C&C tjener trenger ikke være en maskin, men kan være alt fra en IRC bot til en Twitter konto (i 2013 ble det oppdaget at Evernote ble brukt til C&C).

Nyere botnets tar også i bruk machine learning for å danne self-organizing botnets som sammen jobber mot et felles mål. Denne typen botnets kan reagere dynamisk av seg selv når de merker at noen prøver å hindre deres mål.

6.      MALWARETISING

Falsk reklame med mål om å dirigere en bruker til en side med ondsinnet programvare som kan infisere systemet via nettleser. Benytter skremselspropaganda, slik som at maskinen er infisert, at du har vunnet noe, at du er kvalifisert til å motta  gavekort eller lignende. Målet er å få et eller annet exploit-kit inn på systemet ditt. Dette kan være alt fra at bank trojanere, botnets, ransomware, etc.

Les mer: Sikkerhetstesting i utviklingsløpet

7.      FILELESS MALWARE

Malware som bare kjører i minnet på det infiserte systemet og ikke leverer eller oppretter filer. Denne typen angrep skjer ofte mot nettleseren, eller plug-ins, som infiseres når en person besøker en nettside med ondsinnet programvare (eks; lenker i phishing mails). Det kan være vanskelig for både brannmurer og NIDS/HIDS å detektere denne typen malware på grunn av mangelen på artifakter som gir grunnlag for signaturer eller gjør det mulig å se på heuristics fra nettverkstrafikk.

8.      SKIMMING

Skimming blir enklere og enklere jo mer funksjonalitet som puttes på plastkortene vi har med oss. Takket være NFC og RFID kan mange av kortene våre (både kredittkort og adgangskort) enkelt klones.

Det finnes både gratis apper til smarttelefoner og dyrere sofistikert utstyr som dupliserer kortene fra lenger avstand. De færreste er i dag paranoide nok til å ha RFID blokkerende lommebøker eller jakker, men det er ikke vanskelig å i hvert fall skjule adgangskortet bak genseren når du reiser kollektivt.

Låser som ikke krever pin-kode for å åpnes er derfor fritt leide med en gang et kort er duplisert. Man mottar passord/pin hashen ved kloning også, og de fleste har bare 4 tegn ut i fra 10 mulige, som ikke tar all verdens tid å knekke.

Andre populære angrepsvektorer er å infisere POS (point-of-sale) terminaler istedenfor å gå etter enkeltpersoner. Denne taktikken gir flere kredittkort data fortere for mindre risiko. Dataene selges i bulk loads på darkweb sider.

9.      STEGWARE

Angripere har skjult kode i bildefiler, dokumenter eller i pixler i årevis, og det er fortsatt en god angrepsvektor for å komme seg forbi AV og brannmurer. Enkelt forklart er det små kodesnutter som alene ofte er ufarlige, men som trigges når f.eks. bildet blir åpnet i ett spesifikt bildeprogram eller det ligger å lytter etter kall fra andre kodesnutter som allerede er, eller senere kommer inn på maskinen. Å dele opp malware i forskjellige stages er ikke nytt og gjør det enda vanskeligere å detektere at man er infisert før skadevaren trigges.

10.  APT (Advanced Persistent Threat)

For statelige etater og store internasjonale bedrifter vil aktører fra fremmede stater være en trussel. Disse trusselagentene er godt sponset og har store kapabiliteter. Målet for disse aktørene er sjelden å utføre skade, men heller hente ut informasjon. De fleste av de andre truslene på listen benytter sårbarheter som allerede er kjente, mens denne typen trusselagent ofte benytter såkalte zero-days (ikke offentlig kjente sårbarheter) med skreddersydde exploits som ikke detekteres av AV eller HIDS/NIDS.

Data de er ute etter er industrihemmeligheter, firmastrategier, kartlegging av interne systemer og ansatte, oversikt over tilgangen blant ansatte, informasjon om ansatte som kan være aktuelle for rekruttering som agenter.

Det finnes en rekke teknikker for å bryte gjennom sikkerheten til et selskap eller en person. Vi har nå gjennomgått de ti mest populære malware-teknikkene.

Forbrukerteknologiens inntog i organisasjonen krever at du tenker helt nytt om både sikkerhet og support.

Les mer om IT-sikkerhet her