Hackers zijn erin geslaagd een Fortune 100-bedrijf binnen te dringen met nieuwe Windows-malware, PDFSider geheten. Het gaat om een tot nog toe onbekende achterdeur in Windows, die gericht is op langdurige toegang tot bedrijfsnetwerken.
Geavanceerde achterdeur voor langetermijntoegang
Beveiligingsonderzoekers van Resecurity (via BleepingComputer) omschrijven PDFSider als “een verborgen achterdeur voor toegang op de lange termijn”. De malware is duidelijk ontworpen om zich diep in een bedrijfsnetwerk te nestelen en daar zo lang mogelijk actief te blijven en is dus niet bedoeld voor ‘quick wins’. De gevolgen kunnen aanzienlijk zijn: aanvallers kunnen via de backdoor ongemerkt extra malware installeren of gevoelige bedrijfsdata buitmaken.
Het feit dat een Fortune 100-bedrijf getroffen werd, onderstreept de ernst van de dreiging. Deze bedrijven beschikken doorgaans over uitgebreide beveiligingsmaatregelen en gespecialiseerde securityteams. Dat PDFSider desondanks zijn weg naar binnen vond, toont aan hoe verfijnd de aanvalsmethode is.
Gerichte spearphishing als aanvalsmethode
Inmiddels is ook duidelijk hoe PDFSider (onder andere) wordt verspreid. De aanvallers maakten gebruik van zogenoemde spearphishing-aanvallen, waarbij specifieke personen doelgericht worden benaderd om malware te laten installeren of data te stelen. Die berichten zijn vaak zo gepersonaliseerd dat ze nauwelijks nog als klassieke phishing te herkennen zijn.
Opvallend is dat de e-mails een zipbestand bevatten met ogenschijnlijk legitieme software: PDF24 Creator. Die software is digitaal ondertekend en afkomstig van een betrouwbare ontwikkelaar, Miron Geek Software GmbH, die niets met de aanval te maken heeft. Juist dat maakte de PDF-software aantrekkelijk voor misbruik. Ze bevat namelijk een kwetsbaarheid die het mogelijk maakt om schadelijke bestanden toe te voegen zonder dat het digitale certificaat ongeldig wordt.
Deze aanpak is bijzonder verraderlijk. Digitale certificaten zijn juist bedoeld om gebruikers zekerheid te geven over de authenticiteit en veiligheid van software. Door legitieme, ondertekende software te manipuleren zonder het certificaat te invalideren, omzeilen de aanvallers een van de belangrijkste beveiligingslagen die bedrijven hanteren.
Misbruik van legitieme software
Precies die kwetsbaarheid werd uitgebuit. De aangepaste versie van PDF24 Creator activeert tijdens de installatie ook een DLL-bestand, waardoor code execution mogelijk wordt met de rechten van het uitvoerbare .exe-bestand. In sommige gevallen ontvingen slachtoffers geen zipbestand, maar een lokdocument met vergelijkbare inhoud en functionaliteit.
Deze techniek, bekend als DLL sideloading of DLL hijacking, maakt gebruik van de manier waarop Windows naar DLL-bestanden zoekt. Door een kwaadaardig DLL-bestand op de juiste locatie te plaatsen met de juiste naam, kan de malware automatisch worden geladen wanneer het legitieme programma wordt uitgevoerd. Omdat het hoofdprogramma zelf niet is aangepast, blijft het digitale certificaat geldig.
Slimme anti-analysemechanismen
Naast het misbruik van DLL-bestanden werd de kwetsbaarheid ook ingezet om EDR-systemen (Endpoint Detection and Response) te omzeilen. Eenmaal geïnstalleerd draait PDFSider grotendeels in het geheugen, waardoor er nauwelijks sporen achterblijven op het systeem.
Daarbovenop bevat de malware verschillende anti-analysemechanismen. PDFSider controleert onder meer op RAM-checks en debugger detection om te bepalen of het in een sandbox draait. Is dat het geval, dan wordt de aanval stopgezet, simpelweg omdat er in zo’n omgeving weinig te halen valt.
Deze technieken maken het bijzonder lastig voor beveiligingsteams om de malware te detecteren en te analyseren. Door vooral in het werkgeheugen te opereren, ontwijkt PDFSider traditionele antivirusscanners die vooral naar bestanden op de harde schijf zoeken. De sandbox-detectie zorgt ervoor dat geautomatiseerde analysesystemen de malware niet kunnen bestuderen in een gecontroleerde omgeving.
Geavanceerde ontwijkingstechnieken
De ontwikkelaars van PDFSider hebben duidelijk ervaring met hedendaagse beveiligingsoplossingen. De malware controleert niet alleen op virtuele machines en sandboxes, maar past ook zijn gedrag aan op basis van de omgeving waarin het draait. In een bedrijfsnetwerk blijft het actief en opent het stealthily een communicatiekanaal met de aanvallers, terwijl het in een testomgeving simpelweg inactief blijft.
Deze vorm van omgevingsbewust gedrag wordt steeds vaker gezien bij geavanceerde malware. Het maakt het voor securityonderzoekers aanzienlijk moeilijker om de volledige functionaliteit van de malware te begrijpen, omdat deze zich anders gedraagt in hun analysesystemen dan in een echte bedrijfsomgeving.
Actief misbruik door meerdere groeperingen
Volgens Resecurity wordt het misbruik van PDFSider onder meer gelinkt aan de Qilin-ransomwaregroepering. Tegelijkertijd benadrukken de onderzoekers dat Qilin lang niet de enige partij is die deze Windows-achterdeur inzet. Meerdere criminele organisaties zouden PDFSider gebruiken om langdurige en onopvallende toegang tot bedrijfsnetwerken te behouden.
Dit wijst op een zorgwekkende trend waarbij geavanceerde malware als dienst wordt aangeboden of gedeeld tussen verschillende criminele groeperingen. Zodra een effectieve aanvalsmethode bewezen is, verspreidt deze zich snel door de ondergrondse economie. Dit verhoogt niet alleen het aantal potentiële aanvallen, maar maakt het ook lastiger om aanvallen toe te schrijven aan specifieke groeperingen.
Bescherming tegen PDFSider
Voor bedrijven is het essentieel om meerdere verdedigingslagen te implementeren. Alleen vertrouwen op digitale certificaten is duidelijk onvoldoende. Organisaties moeten investeren in geavanceerde endpoint detection, regelmatige securitytrainingen voor medewerkers om spearphishing te herkennen, en strikte applicatiecontrole waarbij alleen expliciet goedgekeurde software kan draaien.
Daarnaast is het verstandig om kritieke systemen te segmenteren, zodat een compromitteerd systeem niet automatisch toegang geeft tot het hele netwerk. Regelmatige beveiligingsaudits en penetratietests kunnen helpen om kwetsbaarheden te identificeren voordat criminelen dat doen.
