LabRat-malware kan unngå deteksjon
En nylig avdekket malware-stamme, kjent som LabRat, skaper bekymringer i cybersikkerhetsverdenen på grunn av dens ekstraordinære evne til å forbli skjult fra konvensjonelle sikkerhetstiltak. Sysdig, en sikkerhetsleverandør, rapporterte at Threat Research Team (TRT) kom over LabRat, som ser ut til å gå langt for å operere uoppdaget. Ifølge Sysdig demonstrerer LabRats taktikk et høyere nivå av raffinement sammenlignet med mange andre nettangrep observert av deres TRT.
I motsetning til noen angripere som ikke prioriterer stealth, har LabRats skapere omhyggelig laget operasjonen sin for å minimere sjansene for oppdagelse. Denne ekstra innsatsen har gjort det utfordrende for forsvarere å identifisere og svare på trusselen effektivt.
LabRat er primært involvert i kampanjer for kryptojacking og proxyjacking. I kryptojacking bruker den i det skjulte offerets datamaskin til å gruve kryptovalutaer for angriperen, mens i proxyjacking blir offerets maskin registrert i et peer-to-peer båndbreddedelingsnettverk, til fordel for angriperen. Angrepsvektoren for LabRat innebærer å utnytte en kjent sårbarhet i GitLab-servere (CVE-2021-2205), slik at angriperen kan oppnå ekstern kjøring av kode og distribuere nyttelasten på det sårbare systemet.
Det som skiller LabRat fra hverandre, er graden av obfuskering som brukes på koden. I tillegg skjuler bruken av TryCloudFlare-tjenesten for å rute trafikk angripernes tilstedeværelse på infiserte systemer ytterligere. Sysdigs direktør for trusselforskning, Michael Clark, bemerket at LabRats tunge kryptering og anti-reverse engineering-teknikker gjorde det uoppdagelig av VirusTotal (VT), noe som er ganske uvanlig.
LabRat Malware Defense
LabRat-gruppen ser ut til å være svært motivert til å beskytte koden deres mot analyser fra forskere med hvite hatter, noe som fremgår av deres omfattende tilsløringsarbeid. Deres primære mål er å opprettholde tilgang til kompromitterte systemer så lenge som mulig for å tjene på proxyjacking og kryptominering. Tid er avgjørende, spesielt i proxyjacking, hvor effektiviteten til et ikke-tilskrivbart nettverk avhenger av antall noder. Hvis nettverket blir for lite, kan det blokkeres og gjøres ubrukelig.
Sysdig anbefaler at administratorers beste forsvar mot slike angrep er tidlig oppdagelse. Å ha oppdaterte og dyktige overvåkingsverktøy kan bidra til å identifisere angrep i de tidlige stadiene, hindre dem i å slå rot og distribuere motforsvarsverktøy. I et cyberlandskap der angripere blir stadig mer sofistikerte, er tidlig oppdagelse fortsatt en kritisk komponent for effektiv cybersikkerhet.