Snelverspreidende cryptomining-malware gebruikt NSA-code

Stay tuned, abonneer!

Een nieuwe vorm van cryptomining-malware gebruikt hacking-codes van de Amerikaanse inlichtingendienst National Security Agency (NSA). De malware verspreidt zich snel door Azië, schrijft Silicon Angle.

Beveiligingsonderzoekers van Symantec ontdekte de malware vorige week en noemde het Beapy. Beapy richt zich vooral op enterprise-netwerken. De meeste infecties zijn in China gedetecteerd, maar ook in andere Aziatische landen. Een klein deel van de infecties komt in de Verenigde Staten voor.

DoublePulsar

Beapy wordt verspreidt via e-mails die een malafide Excel-document als bijlage hebben. Zodra er op een bijlage geklikt wordt, gebruikt Beapy de DoublePulsar-code van de NSA om een achterdeur te maken op geïnfecteerde machines. Dat achterdeurtje wordt vervolgens misbruikt om toegang te krijgen tot een zakelijk netwerk, om cryptomining-scripts te installeren.

DoublePulsar misbruikt een legitiem proces, asynchronous procedure calls (APC), waarmee een thread tijdelijk omgeleid kan worden om zijn huidige functie te stoppen, eerst een andere functie uit te voeren en dan pas met de oorspronkelijke functie verder te gaan. Bij een aanval wordt de code naar het geheugen van een actief gepriviligeerd proces gekopieerd. Het systeem krijgt via een APC de opdracht om die code direct uit te voeren.

Hoewel de stappen individueel onschuldig zijn, kunnen ze samen op een DoublePulsar-aanval wijzen.

Bescherming

Barry Schteiman, vice president van research and innovation bij Exabeam, moeten IT-teams waakzaam zijn voor dergelijke aanvallen. “Het beste wat je kunt doen, is zoeken naar afwijkingen in je elektriciteitsrekening. Je kunt ook veranderingen in je HVAC-gebruik voor warmteafvoer meten, al is dit moeilijker. Daarnaast kun je zoeken naar plotselinge veranderingen in capaciteit of gebruik, evenals significante afwijkingen in patroon en snelheid.”

Om afwijkend netwerkgedrag te detecteren, kunnen bedrijven een opkomende techniek gebruiken genaamd “entity analytics”. Dit automatiseert de detectie door een baseline op te zetten van normaal gedrag door de machine en afwijkingen te highlighten. Afwijkingen van de benchmark kunnen een indicator zijn van misbruik van de capaciteit.