Er is een nieuwe methoden voor het afleveren van malware op systemen ontdekt, die doet denken aan de moeilijk opmerkbare aanvallen via de Task Scheduler waar we recent over schreven. In dit geval draait het om de Windows Event Logs. Er wordt een uitvoerbaar bestand geplaats in de event logs voor de Key Management Services. Hiermee kan code uitgevoerd worden in het geheugen.
Veel malware en virussen bevatten blokken code die door beveiligingssoftware opgemerkt wordt. In dit geval kan de code echter opgebroken worden in stukken van 8 kilobyte die in de events opgeslagen worden en later weer samengevoegd worden. Aangezien elk stukje op zich niet kwaadwillend hoeft te zijn kunnen standaard detectiemethoden ontdoken worden. Er wordt gebruik gemaakt van trojan's om andere beveiligingen te omzeilen met als doel om data te stelen.
Deze methode is in een gerichte aanval in februari voor het eerst opgemerkt door beveiligingsbedrijf Kaspersky, dat meer details vrijgeeft op zijn blog Securelist. Het bedrijf noemt de methode, die nog geen naam gekregen heeft, uniek en goed uitgedacht en er is gebruik gemaakt van commerciële tools.
Bron: HotHardware
