Sophos ontdekt gedrag van aanvalscode die zich in het geheugen verstopt
Om het geheugen te bereiken volstaat veelal een klein laadprogramma dat universeel lijkt. Vooral remote access agents worden op deze manier in het geheugen geladen. Deze ‘agenten’ faciliteren de rest van de aanval; hoe eerder ze worden opgemerkt en geblokkeerd, hoe beter.
Een ontwikkeling die managers van bedrijven nauwlettend in de gaten moeten houden; niemand wil dat dit toeslaat op een bedrijfsnetwerk. De onderzoekers van Sophos hebben daarom een manier bedacht om het geheugen tegen dergelijke malware te verdedigen. Ze ontdekten dat dergelijke aanvalscode hetzelfde gedrag in het geheugen vertoont, ongeacht het type code of het doel ervan. In tegenstelling tot normale softwaretoepassingen die in het geheugen zijn geladen, wordt aanvalscode in de ‘Heap’ geïnjecteerd, extra geheugenruimte voor applicaties die die om extra ruimte vragen (bijvoorbeeld om code op te slaan of uit te pakken).
Sophos-onderzoekers hebben met Dynamic Shellcode Protection een bescherming ontworpen die de allocatie en toewijzing van uitvoeringsrechten van het ene Heap-geheugen naar het andere blokkeert.
"Het voorkomen dat aanvallers vrij spel op het netwerk krijgen is de hoofdtaak van verdedigers", zegt Mark Loman, Director of Engineering van Sophos. “Dit is van cruciaal belang, want zodra een remote access agent is geïnstalleerd, faciliteert deze alle acties van criminelen en spionnen, zoals het stelen van inloggegevens en het uitrollen van ransomware.”
Dynamic Shellcode Protection is uniek in de wereld. Het zet een harde limiet op welk geheugen een programma kan toewijzen. Deze beschermingslimiet is op elk programma van toepassing, zelfs de processen van Windows zelf – processen waar aanvallers zich graag in willen verstoppen. Dynamic Shellcode Protection is geïntegreerd in Sophos Intercept X, dé oplossing voor iedere ondernemer (ongeacht bedrijfsgrootte) om ransomware aan banden te leggen.