Det er en tendens, der ikke går væk - cyberkriminelle vil altid være at forsøge at omgå sikringsforanstaltninger forsvar med bistand fra stadig mere sofistikerede teknikker. Dette fører os til den såkaldte fileless malware hvor effektiviteten af et angreb går ud over forventningerne. En perfekt illustration her er omfanget af to berygtede ransomware udbrud, der skete sidste år – Petya og WannaCry begge indsat fileless teknikker som en del af deres kill kæder.
Som forklarede af Microsoft i et overblik over fileless malware, ideen bag fileless malware er simpelt: hvis der allerede findes værktøjer på en enhed, såsom PowerShell.exe, at opfylde en angriberens mål, så hvorfor droppe brugerdefinerede værktøjer, der kunne blive markeret som malware? Hvis en cyberkriminelle kan overtage en proces, køre kode i sin hukommelse, og derefter bruge denne kode til at kalde værktøjer, der allerede er på en enhed, angrebet bliver snigende og næsten umuligt at opdage.
Den stigende brug af PowerShell i Fileless Malware Distribution
Ondsindede PowerShell-angreb, især, steget med 661 procent fra sidste halvdel af 2017 til den første halvdel af 2018, og fordoblet fra første kvartal til det andet af 2018, som tydeligt ved en detaljeret rapport Symantec.
Den forudinstalleret og fleksibel Windows PowerShell er blevet en af de mest populære valg i cyberkriminelle angreb arsenaler, forskerne sagde. Der har været en stigning på 661 procent i computere, hvor ondsindet PowerShell aktivitet blev blokeret fra den anden halvdel af 2017 til den første halvdel af 2018 - en klar indikation af, at malware operatører stadig i høj grad afhængige af indsættelsen af PowerShell i deres angreb.
PowerShell-baserede teknikker er særligt gældende for fileless malware kampagner, hvor ingen fil er skrevet til disken, ligesom i mange cryptocurrency minearbejdere og finansielle malware. Et nyligt eksempel her er den s? Kaldte GhostMiner.
Den GhostMiner virus er et påtrængende cryptocurrency trojansk hest, der blev spottet i en verdensomspændende angreb i marts. Ifølge sikkerhedseksperter, der analyserede sin sag, truslen var mærket som ”kritisk”, som det viste sig at være i stand til at sprede sig på globalt plan ved hjælp af en ”fileless” infiltration.
Den faktiske infiltration sker ved hjælp af en flere trins proces, der kan yderligere modificeres efter de individuelle mål og de relevante angreb kampagne. Angrebet begynder med den indledende infektion fase, der er afhængig af flere PowerShell unddragelse rammer. De omgå den sædvanlige operativsystem beskyttelse og kan også handle mod fælles sikkerhedssoftware: anti-virus programmer, sandkasse eller debug miljøer og virtuelle maskiner værter. Modulet er designet til at omgå eller helt fjerne den trussel. I visse tilfælde malwaren kan vælge at slette sig selv, hvis den konstaterer, at det ikke kan inficere målet computer i et stealth måde.
Hele ”levende af jorden” taktik, hvoraf PowerShell er en del, er meget populære i disse dage. Dobbelt anvendelse værktøjer som WMI eller PsExec, som er almindeligt ses under angreb, er en anden hyppigt observeret aspekt af denne taktik. Angribere er konstant eksperimenterer med scripts, læring, og dele deres erfaringer med hinanden.
PowerShell rammer såsom PowerSploit eller Empire har også gjort det ubesværet, ikke kun for penetration testere, men også for angribere at inkorporere ondsindede scripts ind i deres værktøjssæt.
For bedre at forstå den aktuelle landskab af Power-Shell-drevne angreb, forskerne analyseret mere end 115,000 tilfældigt udvalgte ondsindede PowerShell kommandolinjer, der blev set i hele 2018. Det skal bemærkes, at mange af disse kommandolinjer kom fra Microsoft Office-dokumenter eller selvpropagerende orme.
En af de første ting, som forskerne bemærkede var manglen på formørkelse teknikker.
Nedsat Anvendelse af Obfuskering i PowerShell angreb
Trods der er mange formørkelse tricks egnede til PowerShell samt fuldautomatiske værktøjer, der kan skabe uklarhed scripts til brugere, disse bruges sjældent i naturen:
Kun fire procent af PowerShell kommandolinjerne vi analyserede forsøgt at sløre sig ved anvendelse af en blanding af lavere- og store bogstaver. Og selv dem, der gør, er ofte automatisk genereret af nogle værktøjskasse med en dårlig Randomizer.
Hvorfor det? Det fremgår, at angriberne er mest sandsynligt klar over, at PowerShell aktivitet ikke overvåges på en standard basis.
Selv om det er overvåget, er det stadig meget muligt for en ikke-sammenrodet kommandolinjen ”at glide ubemærket gennem revner". Som forskerne udtrykker det - ”for meget formørkelse kan være et rødt flag”. Der er en anden mulighed for angribere - at implementere en Base64-kodet klat til at skjule deres kommandoer, som normalt fører til et ekstra skridt for afkodning kræves, før nyttelasten kan ses. Dette sker som regel ved forskellige scripts, selv godartede dem.
Med hensyn til hvorfor bruges ondsindede PowerShell scripts - download og udførelse af eksterne nyttelast forbliver nummer et mål bag sådanne angreb.
Fra alle analyserede prøver af Symantec forskerholdet, 17 procent downloadet noget via HTTP eller HTTPS. De scripts bliver mere robust og forsøger ofte flere URL'er, bruge de lokale proxyindstillinger, eller indstille en specifik bruger agent for at lykkes, forskerne konkluderede.