Creëer een moderne cloudomgeving
Bij InSpark beschermen we je IT-omgeving: Een recent malware-incident en een krachtige detectietool
Dit blog is in samenwerking met Matej Pandza en Nick Harreman tot stand gekomen.
Bij InSpark werken we dagelijks aan het beveiligen van IT-omgevingen van onze klanten. Dankzij onze expertise in Microsoft-diensten en ons geavanceerde Cloud Security Center, zijn we in staat om snel verdachte activiteiten te detecteren en direct actie te ondernemen. Een recent malware-incident toont niet alleen de waarde van onze aanpak, maar ook hoe Microsoft’s technologie ons helpt om effectief te reageren.
Malware-infectie: Infostealer
Een van onze klanten werd slachtoffer van een malware-aanval. Het begon met een zoektocht naar streamingdiensten, wat resulteerde in een malafide CAPTCHA-advertentie. Deze aanval gebruikte een techniek genaamd "Living-off-the-land binaries" (LOLBins), waarbij legitieme Windows-tools zoals mshta.exe werden misbruikt om schadelijke PowerShell-scripts uit te voeren.
De CAPTCHA-aanval ging als volgt te werk: de gebruiker werd gevraagd om een CAPTCHA-test te voltooien en kreeg daarbij de instructie om Win+R in te drukken, gevolgd door CTRL+V. Onopgemerkt door de gebruiker was er op dat moment al malafide code naar het klembord gekopieerd. Deze code riep mshta.exe aan, een legitieme Windows-tool, om de schadelijke payload direct uit te voeren. Dit slimme misbruik van de interactie met de gebruiker maakte de aanval bijzonder effectief.
De malware betrof een zogeheten fileless infostealer, een vorm van malware die geen traditionele bestanden op de harde schijf achterlaat. In plaats daarvan wordt gebruikgemaakt van het geheugen en legitieme, vaak al aanwezige systeemtools om kwaadwillende acties uit te voeren. Dit maakt detectie extra lastig, omdat traditionele antivirusprogramma’s vaak gericht zijn op het scannen van bestanden op schijf. Fileless malware misbruikt processen die normaal als veilig worden beschouwd, zoals PowerShell of Windows Management Instrumentation (WMI), om schadelijke code in het geheugen van een systeem uit te voeren.
In dit specifieke geval downloadde en draaide de malware een sterk geobfusceerd PowerShell-script dat gevoelige browsergegevens stal, waaronder wachtwoorden en opgeslagen sessie-informatie. Dit alles gebeurde zonder een executabel bestand te gebruiken, wat kenmerkend is voor fileless malware.
We werden door detecties in Microsoft Sentinel en Defender XDR op de hoogte gebracht van afwijkend gedrag. Na deze melding hebben we aanvullend onderzoek uitgevoerd en aanvullende detecties opgesteld om soortgelijke aanvallen in de toekomst sneller te identificeren. We hebben het getroffen apparaat geïsoleerd en de klant direct op de hoogte gesteld van de situatie, waardoor verdere schade kon worden voorkomen.
Deze specifieke aanval detecteren met KQL
Met behulp van Microsoft Defender XDR en KQL hebben we een query ontwikkeld om verdachte mshta.exe-processen te identificeren. Deze query is specifiek gericht op het herkennen van malafide activiteiten zoals de uitvoering van CAPTCHA-gerelateerde scripts. Hier is de query die we gebruikten:
DeviceProcessEvents
| where FileName == "mshta.exe"
| where ProcessCommandLine contains "https"
| extend Suspicious = iif(ProcessCommandLine has "I am not a robot" or ProcessCommandLine has "reCAPTCHA Verification", true, false)
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, ProcessCommandLine, Suspicious
| order by Timestamp desc
Met deze query kun je verdachte uitvoeringen van mshta.exe snel opsporen, inclusief verwijzingen naar veelgebruikte CAPTCHA-aanvallen. Dit stelt beveiligingsteams in staat om snel te reageren op mogelijke bedreigingen.
Wat maakt InSpark anders?
Als Microsoft-partner onderscheiden we ons door onze diepgaande expertise en toewijding aan innovatie. In 2024 werden we bekroond met de Global Partner of the Year Award in de categorie Identity en de Country Partner of the Year Award voor Data & AI. Deze erkenning onderstreept onze unieke aanpak en onze nauwe samenwerking met Microsoft. Met onze oplossingen bieden we klanten geavanceerde beveiliging en ondersteunen we hun digitale transformatie.
Hoe we toekomstige aanvallen voorkomen
Binnen ons Security Operations Center (SOC) monitoren onze experts continu je IT-omgeving en ondernemen ze direct actie waar nodig. Naast het gebruik van krachtige Microsoft-oplossingen zoals Sentinel en Defender, voegen we waarde toe met onze eigen detecties en automatisering. Hierdoor worden bedreigingen niet alleen sneller gedetecteerd, maar kunnen we ook proactief reageren op verdachte activiteiten. Onze aanpak combineert geavanceerde technologie met menselijke expertise, wat zorgt voor een robuuste verdediging tegen moderne cyberdreigingen.
Wil je meer weten over hoe InSpark jouw organisatie kan helpen om veiliger te werken met Microsoft-oplossingen? Neem contact met ons op en ontdek hoe onze diensten jouw beveiliging naar een hoger niveau tillen.
