onsdag 22 februari 2017

Legitima molntjänster sprider skadlig kod

Allt oftare används legitima molntjänster för att sprida ransomware. WeCloud har granskat en ny attack där både Dropbox och AON används för att infektera användare med skadlig kod.

Både människor och säkerhetssystem har ett större företoende för välkända molntjänster än vad de har för nya eller okända nätverk. Detta faktum utnyttjas allt oftare av cyberkriminella som använder välkända molntjänster för att infektra användare med olika typer av ransomware och annan malware.

Under den senaste veckan noterades en större attack som drabbade många skandinaviska kunder. Attacken använde den Österikiska e-posttjänsten AON och Dropbox för att undvika att stoppas av traditionella säkerhetssystem som många gånger minskar säkerhetskraven på trafik och filer från legitima källor.



Den aktuella attacken initieras med ett sparsamt e-postmeddelande som skickades från e-posttjänsten AON. Meddelandet innehåller ingen text utöver "Vänliga hälsningar" och en länk till en fil som delas på Dropbox.

Om användaren hämtar innehållet från Dropbox-länken finner man en ZIP-fil som i sin tur innehåller ett Java-script. 



Javascriptet är förvrängt för att dölja kod, länkar och IP-nummer som skulle kunna avslöja dess försök att hämta en exekverbar skadlig kod till offret.



Om skriptet exekveras av användaren hämtas en ny fil till offrets dator. Genom att utnyttja aktuella sårbarheter i operativsystemet exekveras den nya exekverbarafilen automatisk och användaren riskerar att få sina filer krypterade.



För att komma till rätta med den här typen av attacker krävs mer än spamfilter och URL-filter. E-postmeddelandet innehåller inget skadlig, avsändaren är en legitim e-posttjänst och den URL som används leder till Dropbox; som de flesta URL-filter anser vara en legitim molntjänst.

Det verkliga innehållet som hämtas från Internet måste analyseras för att ha en chans att identifiera faran, dessutom krävs ett system som kan analysera innehållet i krypterad http-trafik (https). 




Zscaler Cloud Sandbox är ett tillägg till ZscalerWebSecurity som exekverar och analyserar filer som hämtas från Internet i en molnbaserad sandbox. Innan filerna tillåts laddas ner till verksamhetens datorer och mobila enheter kan en administratör granska filens beteende, den nätverkstrafik som genereras, skärmdumpar och många andra detaljer.

Läs också:

www.wecloud.se
info@wecloud.se