Il est une tendance qui ne va pas disparaître - les cybercriminels vont toujours essayer de contourner les défenses de sécurité avec l'aide des techniques de plus en plus sophistiquées. Cela nous amène au malware fileless soi-disant où l'efficacité d'une attaque va au-delà des attentes. Une illustration parfaite est ici l'échelle de deux foyers de ransomware infâmes qui ont eu lieu l'année dernière – tous deux Petya et WannaCry techniques déployées dans le cadre de fileless de leurs chaînes de tuer.
Comme expliqué par Microsoft dans une vue d'ensemble sur les logiciels malveillants fileless, l'idée derrière les logiciels malveillants fileless est simple: si des outils existent déjà sur un dispositif, comme PowerShell.exe, pour répondre aux objectifs d'un attaquant, alors pourquoi déposer des outils personnalisés qui pourraient être signalés comme des logiciels malveillants? Si un cybercriminel peut prendre en charge un processus, exécuter le code dans son espace mémoire, puis utiliser ce code pour appeler des outils qui sont déjà sur un dispositif, l'attaque devient furtive et presque impossible à détecter.
L'augmentation de l'utilisation de PowerShell dans Fileless Malware distribution
Attaques malveillantes PowerShell, en particulier, a augmenté de 661 pour cent de la dernière moitié de 2017 à la première moitié de 2018, et doublé par rapport au premier trimestre à la deuxième 2018, comme en témoigne un rapport détaillé Symantec.
Windows PowerShell pré-installé et polyvalent est devenu l'un des choix les plus populaires dans les arsenaux d'attaque de cybercriminels, les chercheurs. Il y a eu une augmentation de 661 pour cent dans les ordinateurs où l'activité malveillante PowerShell a été bloqué à partir de la seconde moitié de 2017 à la première moitié de 2018 - une indication claire que les opérateurs de logiciels malveillants sont encore en grande partie sur le comptent déploiement de PowerShell dans leurs attaques.
techniques basées sur PowerShell sont particulièrement valables pour les campagnes de programmes malveillants fileless où aucun fichier est écrit sur le disque, comme dans de nombreux mineurs et les logiciels malveillants financiers crypto-monnaie. Un exemple récent est ici le s-disant GhostMiner.
La virus GhostMiner est un cheval de Troie qui a été intrusif crypto-monnaie repéré lors d'une attaque dans le monde entier en Mars. Selon les chercheurs de sécurité qui ont analysé le cas, la menace a été étiqueté comme « critique », comme il a été constaté pour être en mesure de se propager à l'échelle mondiale en utilisant une infiltration « de fileless ».
L'infiltration réelle se produit en utilisant un processus de plusieurs étapes qui peut être en outre modifié en fonction des objectifs particuliers et la campagne d'attaque pertinente. L'attaque commence par la phase initiale de l'infection qui repose sur plusieurs cadres d'évasion PowerShell. Ils contournent la protection habituelle du système d'exploitation et peuvent également agir contre les logiciels de sécurité commune: les programmes anti-virus, environnements de bac à sable ou débogage et les hôtes de machines virtuelles. Le module est conçu pour contourner ou supprimer entièrement la menace. Dans certains cas, le logiciel malveillant peut choisir de se supprimer si elle constate qu'il ne peut pas infecter l'ordinateur cible d'une manière furtive.
Toute la tactique « vivant de la terre », qui est une partie PowerShell, est très populaire ces jours-ci. outils à double usage tels que WMI ou PsExec, qui sont fréquemment observés au cours des attaques, sont un autre aspect souvent observé de cette tactique. Les pirates expérimentent constamment avec des scripts, apprentissage, et de partager leur expérience entre eux.
cadres PowerShell tels que PowerSploit ou Empire ont également fait sans effort, non seulement pour les testeurs de pénétration, mais les attaquants aussi d'incorporer des scripts malveillants dans leur ensemble d'outils.
Pour mieux comprendre le paysage actuel des attaques alimentés par Power-Shell, les chercheurs analysé plus que 115,000 sélectionnés au hasard des lignes de commande PowerShell malveillants qui ont été vus tout au long 2018. Il convient de noter que bon nombre de ces lignes de commande proviennent de documents Microsoft Office ou vers auto-propagation.
L'une des premières choses que les chercheurs ont remarqué était le manque de techniques d'obscurcissement.
Diminution Utilisation d'obfuscation dans les attaques PowerShell
Malgré cela sont nombreuses astuces d'obscurcissement appropriés pour PowerShell ainsi que des outils entièrement automatisés qui peuvent obscurcir les scripts pour les utilisateurs, ceux-ci sont rarement utilisés dans la nature:
Seulement quatre pour cent des lignes de commande PowerShell nous avons analysé essayé de se dérouter en utilisant un mélange de bas- et des lettres majuscules. Et même ceux qui ne sont souvent générés automatiquement par une boîte à outils avec un pauvre randomizer.
Pourquoi donc? Il semble que les attaquants sont très probablement conscients du fait que l'activité PowerShell n'est pas surveillée sur une base par défaut.
Même si elle est surveillée, il est encore très possible pour une ligne de commande non-obfuscation «glisser inaperçu à travers les mailles du filet". Comme les chercheurs le mettent - «trop obscurcissement peut être un drapeau rouge ». Il y a une autre option pour les attaquants - pour déployer un blob base64 à cacher leurs commandes, ce qui conduit généralement à une étape supplémentaire de décodage nécessaire, avant que la charge utile peut être vu. Cela se fait habituellement par les scripts, même bénignes.
Quant à savoir pourquoi les scripts PowerShell malveillants sont utilisés - le téléchargement et l'exécution de charges utiles à distance reste l'objectif numéro un derrière ces attaques.
De tous les échantillons analysés par l'équipe de recherche Symantec, 17 pour cent téléchargé quelque chose via HTTP ou HTTPS. Les scripts deviennent plus robustes et souvent essayer plusieurs URL, utiliser les paramètres de proxy local, ou définir un agent utilisateur spécifique pour réussir, les chercheurs ont conclu.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: