Es ist ein Trend, der nicht weggeht wird - Cyber-Kriminelle werden immer Sicherheitsabwehr mit Hilfe von immer ausgefeilteren Techniken zu umgehen versucht werden,. Dies führt uns zu der sogenannten Malware dateilose, wo die Wirksamkeit eines Angriffs über die Erwartungen hinaus geht. Ein perfektes Beispiel ist hier die Skala von zwei berüchtigten Ransomware Ausbrüche, die im letzten Jahr passiert ist – Petya WannaCry und von denen beide Techniken eingesetzt dateilosen als Teil ihrer Abtötung Ketten.
Wie erklärt von Microsoft in einer Übersicht auf Malware dateilose, die Idee hinter dateilosen Malware ist einfach: wenn Werkzeuge existieren bereits auf einem Gerät, wie PowerShell.exe, ein Angreifers Ziele zu erfüllen,, warum dann fallen benutzerdefinierte Tools, die als Malware gekennzeichnet werden könnten? Wenn ein Cyber-Kriminellen einen Prozess übernehmen kann, laufen Code in seinem Speicherplatz, und dann diesen Code verwenden Werkzeuge aufrufen, die bereits auf einem Gerät sind, Der Angriff wird verstohlen und fast unmöglich zu erkennen.
Der zunehmende Einsatz von Powershell in Dateilos Malware Verteilung
Bösartige Powershell-Angriffe, insbesondere, erhöhte sich um 661 Prozent aus der letzten Hälfte der 2017 auf der ersten Hälfte 2018, und verdoppelte aus dem ersten Viertel zu dem zweiten von 2018, wie offensichtlich durch einen ausführlichen Bericht von Symantec.
Die vorinstallierte und vielseitige Windows Powershell ist in Cyber-Kriminelle Angriff Arsenale eine der beliebtesten Möglichkeiten werden, sagten die Forscher. Es wurde ein Anstieg von gewesen 661 Prozent in Computern, auf denen bösartige Powershell-Aktivität aus der zweiten Hälfte wurde blockiert von 2017 auf der ersten Hälfte 2018 - ein klarer Hinweis darauf, dass Malware-Betreiber nach wie vor weitgehend auf dem Einsatz von Powershell unter Berufung auf ihren Angriffen.
Powershell-basierte Techniken sind besonders gültig für dateilosen Malware-Kampagnen, in denen keine Datei auf die Festplatte geschrieben wird, wie in vieler Kryptowährung Knappe und finanzielle Malware. Ein aktuelles Beispiel ist hier die s genannte GhostMiner.
Die GhostMiner Virus ist eine intrusive Kryptowährung Trojaner, der in einem weltweiten Angriff März entdeckt wurde. Nach den Sicherheitsexperten, die ihren Fall analysiert, die Bedrohung wurde als „kritisch“ bezeichnet, da es auf globaler Ebene zu verbreiten in der Lage gefunden wurde eine „dateilose“ Infiltration mit.
Die tatsächliche Infiltration erfolgt ein mehrstufigen Verfahren unter Verwendung von, die weiter gemäß den einzelnen Targets modifiziert werden kann, und die entsprechende Angriffskampagne. Der Angriff beginnt mit der anfänglichen Infektionsphase, die auf mehr Powershell-Umgehung Rahmen stützt. Sie umgehen die üblichen Betriebssystemschutz und kann auch handeln gegen gemeinsame Sicherheits-Software: Anti-Virus-Programme, Sandbox oder Debug-Umgebungen und Hosts für virtuelle Maschinen. Das Modul ist so konzipiert, umgehen oder ganz entfernen, die Bedrohung. In bestimmten Fällen kann die Malware wählt selbst zu löschen, wenn sie feststellt, daß es nicht den Zielcomputer in einem Stealth-Weg infizieren kann.
Die ganze „off leben, das Land“ Taktik, von denen ein Teil Power, ist sehr beliebt in diesen Tagen. Dual-Use-Tools wie WMI oder PsExec, welche häufig bei Angriffen gesehen, ist ein weiterer häufig diese Taktik beobachtete Aspekt. Angreifer experimentieren ständig mit Skripten, Lernen, und teilen ihre Erfahrungen untereinander.
Powershell-Frameworks wie PowerSploit oder Reich haben auch machte es mühelos nicht nur für Penetrationstester, sondern auch Angreifer bösartige Skripte in ihre Toolset zu integrieren.
Zum besseren Verständnis der aktuelle Landschaft der Macht-Shell-Power-Attacken, die Forscher analysiert mehr als 115,000 zufällig ausgewählte bösartige Powershell-Befehlszeilen, die im ganzen gesehen wurden 2018. Es sollte beachtet werden, dass viele dieser Befehlszeilen kam von Microsoft Office-Dokumenten oder sich selbst verbreitende Würmer.
Eines der ersten Dinge, die die Forscher war das Fehlen von Verschleierungstechniken festgestellt.
Verminderte Verwendung von Verschleierung in Powershell-Angriffen
Trotzdem sind viele Verschleierungstricks geeignet für Powershell sowie vollautomatisierte Tools, die Skripte für Benutzer verschleiern können, diese sind selten in der freien Natur verwendet:
Nur vier Prozent der Powershell-Befehlszeilen analysierten wir versuchen, sich zu verschleiern, indem eine Mischung aus niedriger mit- und Großbuchstaben. Und selbst diejenigen, die zu tun sind oft automatisch generiert durch ein Toolkit mit einem schlechten randomizer.
Warum das? Es scheint, dass Angreifer am ehesten die Tatsache bewusst, dass Powershell-Aktivität nicht auf einer Standard-Basis überwacht wird.
Auch wenn es überwacht wird, es ist immer noch sehr gut möglich, für eine nicht-verschleierte Befehlszeile „die Risse rutschen unbemerkt durch". Wie die Forscher es ausdrückte - „zu viel Verschleierung kann eine rote Fahne“. Es ist eine weitere Option für Angreifer - ein BASE64-kodierten blob einzusetzen, um ihre Befehle zu verbergen, die in der Regel führt zu einem zusätzlichen Schritt des Decodierens erforderlichen, kann, bevor die Nutzlast zu sehen. Dies wird in der Regel durch verschiedene Skripte getan, auch gutartige.
Wie, warum verwendet wird bösartiges Powershell-Skripts - das Herunterladen und die Ausführung von Remote-Nutzlasten bleibt die Nummer eins Ziel hinter solchen Angriffen.
Von allen Proben von Symantec Forschungsteam analysiert, 17 Prozent heruntergeladen etwas über HTTP oder HTTPS. Die Skripte werden immer robuster und versuchen oft mehrere URLs, verwenden, um die lokalen Proxy-Einstellungen, oder legen Sie einen bestimmten User-Agenten, um erfolgreich zu sein, Die Forscher stellten fest.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: