Fileless malware: Kako se AsyncRAT koristi za nevidljive napade putem legitimnih alata
U svijetu cyber sigurnosti gdje se pažnja često fokusira na najnovije ransomware ili 0-day ranjivosti, fileless malware se tiho, ali efikasno, vraća na scenu. Ova tehnika — iako stara preko dvije decenije — ponovno postaje centralni alat cyber kriminalaca. Nedavno istraživanje koje je objavio LevelBlue SOC tim donosi konkretan dokaz: zlonamjerni napadi uz korištenje AsyncRAT-a i zloupotrebu legitimnog softvera ScreenConnect predstavljaju ozbiljnu prijetnju, posebno za kritičnu infrastrukturu u SAD-u.
Fileless malware: Više od starog koda
Još 2001. godine prvi fileless worm je dospio na naslovnice napadajući mreže bez potrebe za fizičkom datotekom na disku. Danas, dvije decenije kasnije, isti princip se koristi na daleko sofisticiraniji način. Ono što razlikuje savremeni fileless malware od "klasične" maliciozne skripte jeste upravo njegova nevidljivost – maliciozni kod djeluje isključivo u memoriji sistema.
AsyncRAT, poznat kao alat za daljinsko upravljanje računarima (Remote Access Trojan), i dalje je omiljeni izbor među cyber napadačima. Iako nije novost na tržištu, njegova efikasnost, jednostavna distribucija i mogućnost skrivanja od antivirusnih alata ga čine savršenim za Malware-as-a-Service (MaaS) napade.
Zloupotreba legitimnih alata: Studija slučaja sa ScreenConnect
Najzanimljiviji dio u istraživanju kompanije LevelBlue nije samo prisustvo AsyncRAT-a, već način na koji se distribuira. Napadači su iskoristili legitimni RMM alat ScreenConnect – softver koji se široko koristi za udaljeno upravljanje sistemima. Korištenjem trojanske verzije ovog alata, napadači su neprimjetno dostavljali svoj zlonamjerni kod bez potrebe za tradicionalnim fajlovima.
Proces je tekao ovako:
- Instalacija trojanskog ScreenConnect klijenta
- Izvršavanje VBScript i PowerShell loadera
- Dinamičko učitavanje AsyncRAT-a iz vanjskih izvora direktno u RAM
- Na disku ostaju samo bezopasni VBS fajlovi, dok prava prijetnja ostaje nevidljiva
Ovakav pristup značajno otežava otkrivanje i analizu, jer ne postoji klasična datoteka koju bi antivirusni softver mogao identificirati.
Ciljevi napada: Krađa lozinki i kripto novčanika
Glavni motiv napadača je jasno definisan: finansijska korist. AsyncRAT se koristi za krađu pristupnih podataka, kriptovaluta, kao i za nadzor aktivnosti korisnika. Ovakva kompromitacija često prolazi neopaženo, jer je zlonamjerni softver maskiran kao bezopasna aplikacija, poput lažne update skripte za Skype – aplikacije koju Microsoft više ni ne podržava, ali se i dalje koristi kao maska u napadima.
Trajanje napada: Samoodrživi mehanizmi
Jedan od ključnih faktora dugotrajnosti AsyncRAT infekcije jeste automatizirana ponovna instalacija. Ova funkcija je omogućena putem šifriranih stringova koji se dešifriraju tokom runtime-a. Kada god je malware uklonjen ili sistem restartovan, zlonamjerni kod se samostalno reinstalira – sve to iz skrivenih lokacija kao što je %AppData%, koje su za obične korisnike potpuno nevidljive.
Šta ovo znači za odbranu? Prepoznavanje obrazaca i ponašanja
LevelBlue u svom izvještaju ne staje samo na analizi napada – oni nude konkretne smjernice za detekciju i prevenciju. Iako su C2 (Command and Control) domeni već prepoznati i blokirani, obrasci ponašanja kompromitovanog ScreenConnect alata i dinamika loadera mogu poslužiti za otkrivanje sličnih napada.
Sigurnosni timovi mogu značajno poboljšati svoje alate za detekciju korištenjem alata za analizu ponašanja umjesto oslanjanja isključivo na signature-based zaštitu. Takođe, kontrola nad legitimnim RMM alatima i njihovo strogo nadgledanje postaju obavezan korak u zaštiti.
Stručna preporuka: Vrijeme je za novu strategiju detekcije
Ovaj incident još jednom potvrđuje: tradicionalne metode zaštite više nisu dovoljne. Fileless napadi predstavljaju tihu prijetnju koja može ostati neotkrivena mjesecima. Upravo zato je imperativ da organizacije:
- Implementiraju EDR/XDR rješenja koja detektuju sumnjive aktivnosti u memoriji
- Redovno revidiraju upotrebu RMM alata i ograniče pristup
- Prate anomalije u ponašanju aplikacija i korisnika
- Edukuju IT osoblja o tehnikama fileless infekcija
Ulaganje u proaktivnu sigurnost, a ne samo reaktivnu zaštitu, danas je jedini održivi pristup.
