Aanvallers maken steeds vaker gebruik van legitieme hulpprogramma’s of draaien eenvoudige scripts en shell-code rechtstreeks in het geheugen. Deze “living off the land”-tactieken lopen minder risico om gedetecteerd te worden door traditionele malwarebescherming, waarschuwt Symantec.
Door een aanval uit te voeren met behulp van software en processen die reeds op een geviseerde computer aanwezig zijn, kan een hacker langer onopgemerkt zijn werk doen. Er worden immers (bijna) geen nieuwe onbekende bestanden op het systeem geïntroduceerd, waardoor het risico op detectie wordt geminimaliseerd.
Een nieuwe aanval die door Symantec aan het licht werd gebracht, maakt gebruik van de legitieme WMIC-tool in Windows (Windows Management Instrumentation Command-line) in combinatie met een eXtensible Stylesheet Language (XSL)-bestand om malware op een systeem te downloaden en vervolgens informatie te stelen.
WMIC is een legitiem hulpprogramma dat op alle Windows-machines aanwezig is. Het wordt gebruikt voor beheertaken op zowel lokale als externe systemen en kan worden gebruikt om systeeminstellingen op te vragen, besturingsprocessen te beheren en scripts uit te voeren.
“Het gebruik van WMI door cybercriminelen is niet nieuw. De tool wordt meestal gebruikt voor propagatie, maar wordt in dit geval gebruikt om een kwaadaardig bestand te downloaden”, zeggen de onderzoekers van Symantec.
De aanval
De aanval begint met een phishingpoging waarbij het slachtoffer wordt misleid om op een url te klikken. Eenmaal geklikt, wordt een WMIC-commando uitgevoerd dat een kwaadaardig XSL-bestand op het systeem downloadt. Het bestand bevat een JavaScript dat wordt uitgevoerd via mshta.exe, een legitiem Windows-proces dat wordt gebruikt om de Microsoft HTML Application Host uit te voeren.
Tot dit punt zijn er in principe geen verdachte zaken gebeurt op het geviseerde systeem. Het JavaScript is evenwel niet zo onschuldig. Het bevat een lijst met 52 domeinen waarmee een willekeurige downloadlink wordt gegenereerd om een HTML Application (HTA)-bestand te downloaden.
Het HTA-bestand genereert vervolgens op een gelijkaardige manier nieuwe dynamische url’s om nog meer bestanden te downloaden, waaronder drie DLL’s. Die worden met behulp van het legitieme regsvr32.exe geregistreerd, evenals de main payload.
De payload bevat verschillende modules voor het stelen van informatie van het getroffen systeem. Met behulp van het HTA-bestand kunnen aanvullende modules worden geïnstalleerd, waaronder een tool om wachtwoorden te stelen, een keylogger, backdoor enzovoort.