Dingard AB - Artikel

Spionen som gömmer sig i datorns internminne

2022-03-03
Begreppet spion får oss att visualisera en filmatiskt skicklig infiltratör med många egenskaper. Dessa egenskaper kan anpassas utifrån uppdragets mål eller förändrade omständigheter. En digital spion är en typ av skadlig kod, som har precis samma egenskaper som spionen i en film. I praktiken innebär det vanligtvis att den angripna datorn kan fjärrstyras av angriparen. Majoriteten av svenska företag och organisationer vet dock inte om hur angriparen gömmer sin skadliga kod idag och därför verkar allt frid och fröjd i IT-miljön. Detta är något som alla angripare (enskilda individer, grupper och främmande makt) utnyttjar i stor skala.

Den digitala spionen
En spionprogramvara har flexibla egenskaper som innebär att den kan läsa, kopiera, förändra och radera information, men även tekniskt påverka den IT-miljö som vi till vardags litar på. Det skulle kunna vara att den skapar nya användarkonton i IT-miljön, ändrar i tekniska konfigurationsfiler och behörigheter, sprider sig vidare till andra datorer eller helt enkelt påverkar svarstider (tillgängligheten) till viktiga resurser i IT-miljön. En organisation kan på mycket kort tid förlamas och orsakas stor ekonomisk skada om spionen får finnas kvar. Spionen utgör en slags för-trupp, som efter att ha rekat läget inväntar en order från angriparen. Tiden däremellan ligger den tyst och gömmer sig för att undvika upptäckt.

Var finns den digitala spionen?
Många av de attacker som sker idag sätter inte några digitala spår på datorernas hårddiskar, utan attackkoden (den skadliga koden) finns endast i datorernas internminne (RAM). Där gömmer spionen sig bakom helt legitima och välkända processer och kommer inte att upptäckas av något vanligt administratörsverktyg eller majoriteten av de antivirusverktyg som finns.

Men, om det inte finns på hårddisken, så försvinner det väl vid en omstart av datorn?
Ja, i de flesta fall, men datorn kan lätt återinfekteras efter omstart om ingen åtgärdar sårbarheten som ledde till att angreppet lyckades. Automatiserade skanningar efter datorer som innehåller kända och publikt okända sårbarheter sker hela tiden, så risken är stor för att samma eller någon annan spion kommer tillbaka.

Mer komplicerat blir det när vi tittar på servermiljön. Tänk på hur många dagar, veckor och månader som flera av era servrar är aktiva utan omstart. Angreppet kommer sannolikt inte att upptäckas om den skadliga koden ligger tyst och väntar på uppgifter att utföra. En smart angripare kommer nämligen att undvika onödig nätverkstrafik för att inte avslöja sin närvaro. Dessutom kommer den nödvändiga kommunikationen troligtvis vara krypterad och mot IP-adresser som inte avviker nämnvärt, t.ex. till Amazon AWS, Microsoft Azure, etc. I vissa fall bryr sig inte angriparen om att försöka dölja sin kommunikation, utan det går att bekräfta avvikelser direkt i kommunikation mot länder där man som organisation inte förväntar sig aktiva anslutningar via t.ex. SSH, Remote Desktop eller Teamviewer.

Hur kan vi veta om det finns spionprogramvara i internminnet på någon av våra datorer/servrar?
Det går att bevissäkra internminnet på en dator och undersöka huruvida den uppvisar tecken på att vara påverkad på olika sätt. Detta kan göras genom att utföra en s.k. minnesforensisk analys. Även om skadlig kod kan gömma sig, så måste den ha kvar vissa egenskaper som göra att den kan exekvera. Det är mot dessa egenskaper som en minnesforensisk analys fokuserar.

Vad kan vi göra åt det?
En rekommendation är att välja ut några viktiga servrar i IT-miljön för bevissäkring och minnesforensisk analys. Ett stickprov av denna typ bör ske regelbundet, kanske en gång i månaden. Om det påträffas något avvikande som indikerar närvaro av skadlig kod eller missbruk av legitim programvara i internminnet, så behöver operativsystemet och vissa programvaror uppdateras direkt efter en omstart och helst innan återanslutning till datornätverket. I vissa fall kan även rekommendationen bli att ominstallera servern från grunden och byta alla användarlösenord. I summeringen av den minnesforensiska analysen kommer det även att framgå vilken typ av egenskaper den påträffade skadliga koden har, hur den kunde infektera datorn och om det finns några tecken på hur den hittills har använts.

Om ni har frågor om detta, så får ni gärna höra av er.