КРИПТОВАЛЮТИ І БЕЗПІЛОТНІ МЕТОДИ POWERSHELL СТВОРЮЮТЬ НЕБЕЗПЕЧНУ КОМБО
Це нове зловмисне програмне забезпечення з подвійним навантаженням з навантаженням може відключити інтерфейс Windows Antimalware Scan Interface та ввести себе безпосередньо в пам'ять законних процесів.
Нещодавно дослідники охоронної фірми Deep Instinct зіткнулися з криптолінійною інфекцією в системах великої Азії в авіаційній галузі. Атака, яка розгорнула новий майстер криптовалюти Monero, використовувала PowerShell, світловідбиваючу ін'єкцію PE, компіляцію коду під час виконання та Tor для анонімності.
Зловмисне програмне забезпечення надійшло як кодований скрипт PowerShell, який при виконанні задає планове завдання для запуску при налаштуванні системи та запуск другої кодованої команди PowerShell. Цей вторинний корисний набір використовував модуль під назвою Invoke-ReflectivePEInjection з PowerSploit та PowerShell Empire, двох каркасів експлуатації на основі PowerShell, для вилучення коду, що зберігається в реєстрі, та введення його у власний запущений процес.
"Хоча компіляція під час виконання не є новою, вона стає все більш і більш поширеною з ростом популярності атак без файлів, і може мати певні переваги для зловмисника, такі як уникнення деяких механізмів захисту PowerShell", - Deep Instinct заявили дослідники у новому звіті .
Зокрема, це зловмисне програмне забезпечення призначене для виправлення процесу PowerShell, щоб відключити інтерфейс сканування програм Antimalware (AMSI), функцію Windows 10, яка блокує виконання відомого зловмисного програмного забезпечення в різних компонентах та додатках, включаючи всередині PowerShell. Зберігання зловмисного коду всередині реєстру замість файлу на диску, а потім введення його безпосередньо в пам'ять законних процесів - це техніка, яка вперше була використана в APT-атаках для ухилення від виявлення антивірусу. Такі безфайлові тактики виконання зараз поширені для різних загроз зловмисного програмного забезпечення, включаючи викуп.
У цьому випадку код, що зберігається всередині системного реєстру, складався з двох файлів .DLL - одного для 32-бітових систем та одного для 64-розрядних -, який реалізував програму видобутку Monero. Після завантаження криптовалют ініціює зв'язок із серією вузлів Tor, які, ймовірно, служать анонімізацією проксі-серверів, щоб приховати реальне розташування їх майданних басейнів.
"Протягом останніх двох років криптовалютне зловмисне програмне забезпечення постійно збільшується, демонструючи постійно зростаючий рівень вдосконалення, використовуючи вдосконалені безфайлові методи для атаки на цілі в корпоративних умовах", - заявили дослідники Deep Instinct. "Поки аналіз та дослідження цього шкідливого програмного забезпечення ще тривають, з огляду на вищезазначені висновки, ми обґрунтовано переконані, що це новий, витончений варіант криптовалюти, досить відрізняється від інших раніше задокументованих зловмисних програм такого типу".
Захист від атак PowerShell
PowerShell - це потужний і корисний інструмент системного адміністрування, але він став широко використовуваним вектором атаки в останні роки , тому підприємствам вкрай необхідно обмежити його використання в системах, де це не потрібно, або принаймні додати до нього можливості реєстрації та виявлення. .
Microsoft рекомендує використовувати PowerShell версії 5, яка має найдосконаліші функції ведення журналу для всіх версій PowerShell. На жаль, навіть після встановлення версії 5, PowerShell версії 2 все ще залишатиметься в системі та допускатиме атаки з пониженням версії, тому системні адміністратори повинні обов'язково видалити цю стару версію зі своїх систем.
PowerShell також може бути налаштований у тому, що називається режимом обмеженої мови, якщо користувачам системи не потрібна повна потужність. Для адміністрування віддалених серверів можна використовувати обмежений режим оболонки, відомий як Just Enough Administration (JEA).
Інші ефективні пом’якшення передбачають налаштування PowerShell лише для дозволу виконання цифрово підписаних сценаріїв та використання функції Windows 10 AppLocker для перевірки сценаріїв перед тим, як їм дозволено запускати.
Нарешті, якщо PowerShell не потрібен системі, його можна повністю видалити. Це забезпечить найкращий захист, але рідко є практичним, оскільки інструмент часто потрібен для автоматизації завдань системного адміністрування.