Malware działający ~tylko w pamięci atakuje banki… przygotujcie się zanim będzie za późno

Kasperski wykrył technikę używaną do tej pory przede wszystkim w atakach sponsorowanych przez rządy – malware nie zostawiający w ogóle śladu na dysku twardym (poza ew. wpisami w rejestrze) i  zagnieżdzający się jedynie w pamięci. Po raz pierwszy malware wykryto w jednym z banków:

This threat was originally discovered by a bank’s security team, after detecting Meterpreter code inside the physical memory of a domain controller (DC).

W trakcie rozmowy z Arstechnicą jeden z pracowników Kasperskiego kwituje całą akcję tak:

„What’s interesting here is that these attacks are ongoing globally against banks themselves,” Kaspersky Lab expert Kurt Baumgartner told Ars. „The banks have not been adequately prepared in many cases to deal with this.” He went on to say that people behind the attacks are „pushing money out of the banks from within the banks,” by targeting computers that run automatic teller machines.

Możemy mieć w sumie podobną akcję jak niegdysiejszy Carbanak. Ślady ataku wykryto w 40 krajach – były to banki, ale też telcomy czy sieci rządowe:

Za: Kaspersky

Akcja wykorzystuje znane narzędzia: Mimikatz, Meterpreter, czy Powershell.

Wykrycie jest ~proste. Należy na pewno sprawdzić w rejestrze następujące miejsca pod względem występowania podejrzanych dopisków (oczywiście nie wszystkie wpisy w tych lokalizacjach muszą być nietypowe):

Załoga z Kasperskiego proponuje również przeszukać rejestr pod względem ciągów poniżej (choć adresy IP mogą się różnić; przede wszystkim nietypowy i podejrzany powinien być port 4444, z drugiej strony twórcy malware łatwo mogą to zmienić…):

• powershell.exe -nop -w hidden -e
• 10.10.1.12/8080
• 10.10.1.11/4444

–ms