Si tratta di una tendenza che non sta andando via - i criminali informatici saranno sempre cercando di aggirare le difese di sicurezza con l'aiuto di tecniche sempre più sofisticate. Questo ci porta alla cosiddetta di malware fileless in cui l'efficacia di un attacco va oltre le aspettative. Un esempio perfetto qui è la scala di due focolai ransomware infami che è accaduto l'anno scorso – Petya e WannaCry entrambi schierati tecniche fileless come parte delle loro catene uccidere.
Come ha spiegato da Microsoft in una panoramica di malware fileless, L'idea alla base è semplice fileless il malware: se esistono già strumenti su un dispositivo, come PowerShell.exe, per soddisfare gli obiettivi di un aggressore, allora perché rilasciare strumenti personalizzati che possono essere contrassegnate come malware? Se un criminale informatico può assumere un processo, eseguire il codice nel suo spazio di memoria, e quindi utilizzare tale codice per chiamare gli strumenti che sono già su un dispositivo, l'attacco diventa furtiva e quasi impossibile da rilevare.
Il crescente utilizzo di PowerShell in Fileless Malware Distribuzione
attacchi dannosi PowerShell, in particolare, aumentato da 661 per cento dalla metà del 2017 alla prima metà di 2018, e raddoppiato dal primo trimestre al secondo di 2018, come evidente da una dettagliata relazione di Symantec.
Il preinstallato e versatile di Windows PowerShell è diventato una delle scelte più popolari arsenali attacco cybercriminali, i ricercatori hanno detto. C'è stato un aumento del 661 per cento nel computer in cui l'attività PowerShell dannoso è stato bloccato e la seconda metà del 2017 alla prima metà di 2018 - una chiara indicazione che gli operatori di malware sono ancora in gran parte affidamento sulla realizzazione del PowerShell nei loro attacchi.
tecniche di PowerShell-based sono particolarmente validi per le campagne di malware fileless dove nessun file viene scritto su disco, come in molti minatori criptovaluta e malware finanziario. Un recente esempio è il s cd GhostMiner.
Il virus GhostMiner è un Trojan criptovaluta invadente che è stato avvistato in un attacco a livello mondiale Marzo. Secondo i ricercatori di sicurezza che ha analizzato il suo caso, la minaccia è stato etichettato come “critico” come è stato trovato per essere in grado di diffondere su scala globale con un'infiltrazione “fileless”.
L'infiltrazione effettiva avviene mediante un processo vari step che può essere ulteriormente modificato secondo gli obiettivi individuali e la campagna attacco pertinente. L'attacco inizia con la fase di infezione iniziale che si basa su diversi quadri di evasione PowerShell. Essi bypassare la solita protezione del sistema operativo e possono anche agire contro il software di sicurezza comune: programmi anti-virus, ambienti sandbox o di debug e gli host di macchine virtuali. Il modulo è progettato per aggirare o eliminare del tutto la minaccia. In alcuni casi il malware può scegliere di eliminare se stesso qualora constati che non può infettare il computer di destinazione in maniera furtiva.
L'intero “vivere dei frutti della terra” tattica, di cui è parte PowerShell, è molto popolare in questi giorni. A duplice uso di strumenti come WMI o PsExec, che sono comunemente visto durante gli attacchi, sono un altro aspetto osservato frequentemente di questa tattica. Gli aggressori sono costantemente sperimentando con gli script, apprendimento, e condividere la loro esperienza tra di loro.
quadri PowerShell, come PowerSploit o Impero hanno anche reso sforzo non solo per penetration tester, ma gli attaccanti anche di incorporare script dannosi nel loro set di strumenti.
Per comprendere meglio il panorama attuale di attacchi Power-Shell-alimentati, i ricercatori analizzato più di 115,000 righe di comando PowerShell dannosi scelti a caso che sono stati visti in tutta 2018. Va notato che molti di questi righe di comando è venuto da documenti Microsoft Office o worm auto-propaganti.
Una delle prime cose che i ricercatori hanno notato è stata la mancanza di tecniche di offuscamento.
Diminuzione Uso di offuscamento in attacchi PowerShell
Nonostante ciò sono molti trucchi di offuscamento adatti per PowerShell nonché strumenti completamente automatizzati che possono offuscare gli script per gli utenti, questi sono raramente utilizzati in natura:
Solo quattro per cento delle righe di comando PowerShell abbiamo analizzato cercato di nascondere soli, utilizzando una miscela di minori- e lettere maiuscole. E anche quelli che lo fanno sono spesso auto-generata da alcuni toolkit con un povero randomizer.
Perché? Sembra che gli aggressori sono molto probabilmente a conoscenza del fatto che l'attività PowerShell non viene monitorata in maniera predefinita.
Anche se è monitorato, è ancora altamente possibile per una linea di comando non offuscato “scivolare inosservato attraverso le fessure". Come i ricercatori messo - “troppa confusione può essere una bandiera rossa”. C'è un'altra opzione per gli attaccanti - di distribuire un blob BASE64 codifica per nascondere i loro comandi, che di solito porta ad un ulteriore passo di decodifica richiesto, prima che il carico utile può essere visto. Questo è solitamente fatto dai vari script, anche quelli benigni.
Per quanto riguarda il motivo per cui vengono utilizzati script PowerShell maligni - il download e l'esecuzione di carichi utili a distanza rimane l'obiettivo numero uno dietro questi attacchi.
Da tutti i campioni analizzati dal gruppo di ricerca di Symantec, 17 cento scaricato qualcosa attraverso HTTP o HTTPS. Gli script sono sempre più robusto e spesso cercano più URL, utilizzare le impostazioni proxy locali, o impostare un agente utente specifico per avere successo, i ricercatori hanno concluso.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: