De eerste ‘fileless worm’ op het internet teisterde organisaties in 2001. Een nieuw rapport van LevelBlue plaatst de schijnwerpers op AsyncRAT, ook allesbehalve nieuw, dat nog altijd voor problemen zorgt zonder bestanden met zich mee te dragen.
Het SOC-team van LevelBlue heeft een fileless loader opgespoord om AsyncRAT in te zetten. AsyncRAT is een van de populairste voorbeelden van Malware-as-a-Service; aanvallen vinden voornamelijk plaats op kritieke infrastructuur in de VS. Het is een tool voor het op afstand besturen van apparaten. Het vermomd zich als een vertrouwde utility en blijft daardoor regelmatig buiten schot. De interessantste ontdekking van LevelBlue draait niet om de malware zelf, maar de manier waarop het op apparaten belandt.
ScreenConnect
De legitieme RMM-tool ScreenConnect werd misbruikt door de aanvallers in het door LevelBlue uitgelichte incident. Samen met de installatie zaten de middelen om AsyncRAT te deployen, maar zonder losse bestanden. Na installatie van de vergiftigde versie van ScreenConnect volgde een VBScript en PowerShell-loader waarmee op heimelijke wijze componenten via externe URL’s draaiden. Alleen VBS-bestanden verschenen op de disk, maar de problematische gevolgen van deze malware bleven in RAM.
De payloads werden namelijk via malafide URL’s in het geheugen geladen van de endpoint. Met andere woorden: er was geen bestand aanwezig om de aanval te verraden. De doelwitten van AsyncRAT waren wachtwoorden en cryptowallets, dus de aanvaller had een financiële motivatie voor de compromis.
Elke keer dat een herstart nodig was voor de malware, gebeurde dit via de malafide “Skype Updater”, overigens een inmiddels niet meer door Microsoft gebruikte app. Desondanks zal dit achtergrondgedrag voor nietsvermoedende gebruikers niet gauw een teken zijn dat er iets aan de hand is.
Versleuteld
Het heimelijk herinstalleren, de sleutel voor het langdurige bestaan van deze versie van AsyncRAT, vindt plaats via een versleutelde string. Tijdens runtime wordt dit ontsleuteld en krijgt de malware te horen dat het zich moet herinstalleren indien nodig. Het normaliter verborgen %AppData% binnen Windows geldt als veilige schuilplek.
LevelBlue weet in het rapport elk onderdeel van de loader en AsyncRAT uit te pluizen. Hieruit blijkt ook hoe de aanvaller geweerd kan worden. Afgezien van de inmiddels bekende C2-domeinen zijn ook gedragspatronen bekend van de malafide ScreenConnect-implementatie en kunnen securitybedrijven detectie verbeteren.
Lees ook: Memory-safe malware: Rust daagt securityonderzoekers uit