Es una tendencia que no va a desaparecer - cibercriminales siempre se intentan eludir las defensas de seguridad con la ayuda de técnicas cada vez más sofisticadas. Esto nos lleva a la llamada de malware sin archivo, donde la eficacia de un ataque va más allá de las expectativas. Una ilustración perfecta aquí es la escala de dos brotes ransomware infames que ocurrieron el año pasado – Petya y WannaCry ambos de los cuales implementan técnicas sin archivo como parte de sus cadenas Kill.
Como explicado por Microsoft en una visión general sobre el malware sin archivo, La idea detrás de software malicioso sin archivo es simple: si las herramientas ya existen en un dispositivo, tales como PowerShell.exe, para cumplir con los objetivos de un atacante, entonces ¿por qué caer herramientas personalizadas que podrían ser marcados como malware? Si un ciberdelincuente puede hacerse cargo de un proceso de, ejecutar código en su espacio de memoria, y luego utilizar ese código para llamar a las herramientas que ya están en un dispositivo, el ataque se convierte sigiloso y casi imposible de detectar.
El uso cada vez mayor de PowerShell en la distribución de malware sin archivo
ataques maliciosos PowerShell, en particular, incrementado por 661 por ciento desde la segunda mitad del 2017 a la primera mitad de 2018, y se ha duplicado desde el primer trimestre al segundo de 2018, como es evidente por un informe detallado Symantec.
El preinstalado y versátil de Windows PowerShell se ha convertido en una de las opciones más populares en los arsenales de ataque ciberdelincuentes, los investigadores dijeron. Ha habido un aumento de 661 por ciento en equipos en los que la actividad maliciosa PowerShell fue bloqueada desde la segunda mitad de 2017 a la primera mitad de 2018 - una clara indicación de que los operadores de malware están todavía en gran parte confiando en el despliegue de PowerShell en sus ataques.
técnicas basadas en PowerShell son especialmente válidos para las campañas de malware sin archivo donde ningún archivo se escribe en el disco, al igual que en muchos mineros criptomoneda y malware financiero. Un ejemplo reciente es la que aquí se llama s-GhostMiner.
El virus GhostMiner es un troyano criptomoneda intrusivo que fue descubierto en un ataque en todo el mundo de marzo de. Según los investigadores de seguridad que analizaron su caso, la amenaza fue etiquetado como “crítico”, ya que se encontró que era capaz de propagarse a escala mundial utilizando una infiltración “sin archivo”.
La infiltración real ocurre mediante un proceso de varias etapas que se pueden modificar adicionalmente de acuerdo con los objetivos individuales y la campaña ataque relevante. El ataque comienza con la fase inicial de la infección que se basa en varios marcos de evasión PowerShell. Ellos pasan por alto la protección habitual sistema operativo y también pueden actuar contra el software de seguridad común: programas anti-virus, caja de arena o de depuración entornos y hosts de máquina virtual. El módulo está diseñado para evitar o eliminar completamente la amenaza. En ciertos casos, el malware puede optar por eliminar a sí mismo si considera que no puede infectar el equipo de destino de una manera sigilosa.
El conjunto “vivir de la tierra” táctica, de los cuales PowerShell es una parte, es muy popular en estos días. De doble uso de herramientas como WMI o PsExec, que se ven comúnmente durante los ataques, son otro aspecto observado con frecuencia de esta táctica. Los atacantes están constantemente experimentando con guiones, aprendizaje, y compartir sus experiencias entre ellos mismos.
marcos PowerShell como PowerSploit o Imperio también han hecho que sin esfuerzo no sólo para pruebas de penetración, sino también a los atacantes incorporar scripts maliciosos en su conjunto de herramientas.
Para entender mejor el panorama actual de los ataques que funcionan con Power-Shell, los investigadores analizado más que 115,000 las líneas de comandos PowerShell maliciosos seleccionados al azar que se han visto a lo largo 2018. Cabe señalar que muchas de estas líneas de órdenes vinieron de documentos de Microsoft Office o gusanos libre propagación.
Una de las primeras cosas que los investigadores observaron fue la falta de técnicas de ofuscación.
Disminución del uso de ofuscación en ataques PowerShell
A pesar de que son muchos trucos de ofuscación adecuados para PowerShell, así como herramientas totalmente automatizados que pueden ofuscar las secuencias de comandos para los usuarios, éstos se utilizan raramente en la naturaleza:
Sólo cuatro por ciento de las líneas de comandos de PowerShell analizamos trató de ocultar a sí mismos mediante el uso de una mezcla de baja- y las letras mayúsculas. E incluso los que lo hacen a menudo son auto-generado por algún conjunto de herramientas con una aleatoriedad pobres.
Porqué es eso? Parece ser que los atacantes son muy probablemente consciente del hecho de que la actividad PowerShell no se controla de forma predeterminada.
Incluso si se controla, todavía es altamente posible que una línea de comandos no ofuscado “para deslizarse inadvertida a través de las grietas". A medida que los investigadores ponen - “demasiada ofuscación puede ser una señal de alerta”. Hay otra opción para los atacantes - para desplegar un blob codificado en base 64 para ocultar sus comandos, que por lo general conduce a un paso adicional de decodificación requerida, antes de la carga útil puede ser visto. Esto se hace generalmente por varios guiones, incluso las más benignas.
En cuanto a por qué se utilizan scripts de PowerShell maliciosos - la descarga y ejecución de cargas útiles a distancia sigue siendo el objetivo número uno detrás de este tipo de ataques.
De todas las muestras analizadas por el equipo de investigación de Symantec, 17 ciento descargarse algo a través de HTTP o HTTPS. Los guiones son cada vez más robusta y con frecuencia tratar varias direcciones URL, utilizar la configuración del proxy local, o establecer un agente de usuario específico con el fin de tener éxito, los investigadores llegaron a la conclusión.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: