LabRat-malware kan detectie omzeilen
Een onlangs ontdekte malwaresoort, bekend als LabRat, veroorzaakt zorgen in de cyberbeveiligingswereld vanwege het buitengewone vermogen om verborgen te blijven voor conventionele beveiligingsmaatregelen. Sysdig, een beveiligingsleverancier, meldde dat zijn Threat Research Team (TRT) LabRat tegenkwam, dat tot het uiterste lijkt te gaan om onopgemerkt te blijven. Volgens Sysdig demonstreren de tactieken van LabRat een hoger niveau van verfijning vergeleken met veel andere cyberaanvallen die door hun TRT zijn waargenomen.
In tegenstelling tot sommige aanvallers die geen prioriteit geven aan stealth, hebben de makers van LabRat hun operatie zorgvuldig ontworpen om de kans op detectie te minimaliseren. Deze extra inspanning heeft het voor verdedigers een uitdaging gemaakt om de dreiging effectief te identificeren en erop te reageren.
LabRat houdt zich voornamelijk bezig met cryptojacking- en proxyjacking-campagnes. Bij cryptojacking wordt heimelijk de computer van het slachtoffer gebruikt om cryptocurrency voor de aanvaller te minen, terwijl bij proxyjacking de machine van het slachtoffer is ingeschreven in een peer-to-peer netwerk voor het delen van bandbreedte, wat de aanvaller ten goede komt. De aanvalsvector voor LabRat omvat het misbruiken van een bekende kwetsbaarheid in GitLab-servers (CVE-2021-2205), waardoor de aanvaller code op afstand kan uitvoeren en de payload op het kwetsbare systeem kan implementeren.
Wat LabRat onderscheidt, is de mate van verduistering die op de code wordt toegepast. Bovendien verduistert het gebruik van de TryCloudFlare-service om verkeer te routeren de aanwezigheid van aanvallers op geïnfecteerde systemen verder. Michael Clark, directeur van Sysdigs onderzoek naar bedreigingen, merkte op dat LabRat's zware encryptie- en anti-reverse engineering-technieken het ondetecteerbaar maakten door VirusTotal (VT), wat vrij ongebruikelijk is.
LabRat-malwareverdediging
De LabRat-groep lijkt zeer gemotiveerd om hun code te beschermen tegen analyse door white hat-onderzoekers, zoals blijkt uit hun uitgebreide inspanningen om de code te verduisteren. Hun primaire doel is om de toegang tot gecompromitteerde systemen zo lang mogelijk te behouden om te profiteren van proxyjacking en cryptomining. Tijd is van essentieel belang, vooral bij proxyjacking, waarbij de effectiviteit van een niet-toewijsbaar netwerk afhangt van het aantal knooppunten. Als het netwerk te klein wordt, kan het worden geblokkeerd en onbruikbaar worden.
Sysdig beveelt aan dat de beste verdediging van beheerders tegen dergelijke aanvallen vroegtijdige detectie is. Het hebben van up-to-date en capabele monitoringtools kan helpen aanvallen in een vroeg stadium te identificeren, te voorkomen dat ze wortel schieten en tegenverdedigingsinstrumenten inzetten. In een cyberlandschap waarin aanvallers steeds geavanceerder worden, blijft vroege detectie een cruciaal onderdeel van effectieve cyberbeveiliging.
