En ny sikkerhedsrapport fra HP Wolf Security viser, at en kombination af komprimerede filer og såkaldt “HMTL-smugling” hjælper ondsindede aktører med at omgå sikkerhedsværktøjer.
Teknologivirksomheden HP udgav for nylig sin tredje sikkerhedsrapport for året.
Rapporten, HP Wolf Security Threat Insights Report, beretter blandt andet om, at komprimeringsformater såsom ZIP- og RAR-filer for første gang er den mest almindelige måde for cyberkriminelle at skjule malware på. Dermed er det første gang, at Office-filtyper ikke topper listen.
Sikkerhedsrapporten har til formål at give virksomheder et indblik i, hvad der sker inden for cybersikkerhed i verden lige nu. Den giver bl.a. indsigt i, hvilken slags værktøjer cyberkriminelle bruger til at omgå sikkerhedsværktøjer og brugere i et konstant skiftende sikkerhedslandskab.
Rapportens data kommer fra millioner af enheder, der er forbundet til HP Wolf Security. Her viste data, at 44% af malware var skjult i komprimeringsfiler – en stigning på 11% fra det foregående kvartal. Til sammenligning var 32% af malwaren skjult i en Office-fil som Word, Excel og PowerPoint.
Sikkerhedsværktøjer kan ikke følge med
Rapporten identificerede også flere kampagner, der brugte HTML-filer til at omdirigere brugere til falske online dokumentlæsere, der udgav sig for at være Adobe. Brugerne blev derefter bedt om at åbne en ZIP-fil og indtaste en adgangskode for at udpakke filen, hvorefter malware endte på deres pc.
Da malwaren i den originale HTML-fil var kodet og krypteret, var det meget svært for e-mail-gateways og andre sikkerhedsværktøjer at opdage angrebet. I stedet er angriberen afhængig af social manipulation ved at skabe en overbevisende og veldesignet hjemmeside med det formål at få ofre til selv at indlede angrebet ved at åbne en inficeret ZIP-fil. I oktober blev det opdaget, at de samme cyberkriminelle brugte falske Google Drev-sider i nye forsøg på at få ofrene til at åbne ZIP-filerne.
– Det er meget nemt for cyberkriminelle at skjule malware i komprimerings- og arkivfiler. Dette giver dem mulighed for at omgå webproxyer, sandkasser eller e-mail-scannere, hvilket gør det svært at opdage – især i kombination med HTML-smuglingsteknikker. Det interessante ved OakBot- og IceID-kampagnerne var den store indsats, der blev lagt i at skabe de falske hjemmesider. Disse kampagner var mere overbevisende, end vi har set før, hvilket igen gør det meget svært for folk at vide, hvilke filer de kan stole på, siger Flemming Pregaard, Chief Technologist hos HP Danmark.
Cyberkriminelle ændrer taktik konstant
HP identificerede også en kompleks kampagne, der brugte en modulær infektionskæde. Dette kan potentielt ændre angrebsmål undervejs, såsom spyware, ransomware eller keyloggere – eller introducere nye funktioner såsom geofencing. Ved ikke at have malware direkte i den vedhæftede fil sendt til angrebsmålet, blev det også sværere for e-mail-gateways at opdage denne type angreb.
– Vi ser, at cyberkriminelle hele tiden ændrer deres teknikker, hvilket gør det meget svært for sikkerhedsværktøjer at opdage dem. Ved at følge Zero Trust-principperne kan virksomheder bruge mikrovirtualisering til at sikre, at potentielt ondsindede processer – såsom at klikke på links eller åbne vedhæftede filer – udføres i en virtuel maskine, der er isoleret fra resten af systemet. Denne proces vil ikke være synlig for brugeren og fanger malwaren i den virtuelle maskine. Det betyder, at angriberne ikke får adgang til følsomme data og forhindrer dem i at komme ind og bevæge sig rundt i systemerne, siger Flemming Pregaard.
HP Wolf Security udfører risikable opgaver såsom at åbne vedhæftede filer i e-mail, downloade filer og klikke på links gennem isolerede virtuelle maskiner for at beskytte brugeren og opdage forsøg på brud. HP’s softwareisoleringsteknologi forhindrer trusler, der ellers kunne komme forbi andre sikkerhedsværktøjer, og giver en unik indsigt i nye angrebsteknikker, og hvordan cyberkriminelle opererer. Ved at isolere trusler på pc’er, der er kommet forbi sikkerhedsværktøjer, har HP Wolf Security specifik indsigt i de nyeste teknikker, der bruges af disse aktører. Til dato har HP-kunder klikket på over 18 milliarder e-mail-vedhæftede filer, websider og downloadede filer uden rapporterede brud.