De grootste bedreiging voor de beveiliging van endpoints is fileless malware. Dat concludeert Cisco na onderzoek van telemetriegegevens van de eerste helft van 2020.
Fileless malware is een soort kwaadaardige software die werkt vanuit het geheugen van de pc van het slachtoffer, niet vanuit bestanden op de schijf. Dit maakt het moeilijker om te detecteren omdat er geen bestanden zijn om te scannen. Ook maakt het forensisch onderzoek moeilijker omdat de malware gewoon verdwijnt wanneer de computer van het slachtoffer opnieuw wordt opgestart.

Uit de cijfers van Cisco blijkt dat fileless malware goed is voor 30 procent van de beveiligingsmeldingen. Hiervoor wordt vaak Kovter, Poweliks, Divergent en LemonDuck gebruikt.

Een andere serieuze bedreiging vormen de zogenoemde dual-use tools, de apps die door de aanvaller voor zowel de exploitatie als daarna kunnen worden gebruikt. Voorbeelden van dual-use tools zijn PowerShell Empire, Cobalt Strike, Powersploit en Metasploit, die ook vaak worden gebruikt door bij pentesters.

De derde grote bedreiging die Cisco is tegengekomen, is ‘credential dumping’, oftewel een tool om op gecompromitteerde pc’s op zoek te gaan naar login-gegevens. Dit wordt hoofdzakelijk gedaan met behulp van Mimikatz.

Deze drie categorieën bedreigingen vormen samen ongeveer driekwart van alle beveiligingsmeldingen, schrijft Ben Nahorney op het
Cisco-blog. De overige 25 procent bestaat uit onder meer ransomware, wormen zoals Ramnit en Qakbot, remote access trojans en bank trojans.

Source