Het is een trend die niet weg gaat - cybercriminelen zullen altijd proberen om beveiligingsmethoden te omzeilen met behulp van steeds geavanceerdere technieken. Dit leidt ons tot de zogenaamde fileless malware waar de effectiviteit van een aanval gaat boven verwachting. Een perfecte illustratie is hier de schaal van twee beruchte ransomware uitbraken die vorig jaar is gebeurd – Petya en WannaCry die beide ingezet fileless technieken als onderdeel van hun doden ketens.
Als toegelicht door Microsoft in een overzicht op fileless malware, Het idee achter fileless malware is simpel: als instrumenten die reeds bestaan op een apparaat, zoals powershell.exe, om de doelstellingen van een aanvaller te vervullen, waarom dan vallen aangepaste instrumenten die kunnen worden gemarkeerd als malware? Als een cybercrimineel over een proces kan nemen, run code in zijn geheugen, en gebruik die code om instrumenten die al op een apparaat zijn te bellen, de aanval wordt stealthy en bijna onmogelijk op te sporen.
Het toenemende gebruik van PowerShell in Fileless Malware Distribution
Schadelijke PowerShell aanvallen, in het bijzonder, verhoogd door 661 procent ten opzichte van de laatste helft van 2017 het eerste halfjaar 2018, en verdubbeld ten opzichte van het eerste kwartaal tot het tweede 2018, zoals blijkt uit een gedetailleerd rapport van Symantec.
De vooraf geïnstalleerde en veelzijdige Windows PowerShell is uitgegroeid tot een van de meest populaire keuzes in cybercriminelen aanval arsenalen, aldus de onderzoekers. Er is een stijging van geweest 661 procent in computers waar de kwaadaardige PowerShell activiteit werd geblokkeerd uit de tweede helft van 2017 het eerste halfjaar 2018 - een duidelijke aanwijzing dat malware operators nog steeds grotendeels op de inzet van PowerShell in hun aanvallen.
PowerShell-gebaseerde technieken zijn in het bijzonder gelden voor fileless malware campagnes, waar er geen bestand is geschreven naar de schijf, zoals in vele cryptogeld mijnwerkers en financiële malware. Een recent voorbeeld is hier de-s genoemd GhostMiner.
Het GhostMiner virus is een opdringerige cryptogeld Trojaans paard dat in een wereldwijde aanval werd gespot maart. Volgens de security onderzoekers dat haar zaak geanalyseerd, de dreiging werd bestempeld als “kritiek” als het werd gevonden om te kunnen verspreiden op een wereldwijde schaal met behulp van een “fileless” infiltratie.
De werkelijke infiltratie gebeurt via een aantal stappen die verder kunnen worden aangepast aan de individuele doelstellingen en de desbetreffende aanslag campagne. De aanval begint met de eerste infectie fase die noemt verschillende PowerShell fraude frameworks. Ze omzeilen de gebruikelijke bescherming besturingssysteem en kan ook optreden tegen gemeenschappelijke beveiligingssoftware: anti-virus programma's, zandbak of debug-omgevingen en virtual machine hosts. De module is ontworpen om te omzeilen of geheel verwijderen van de dreiging. In bepaalde gevallen kan de malware ervoor kiezen om zich te verwijderen als zij constateert dat de doelcomputer niet kunnen infecteren in een stealth manier.
De hele “leven van het land” tactiek, waarvan PowerShell deel uitmaakt, is erg populair deze dagen. Dual-use hulpmiddelen zoals WMI of PsExec, die algemeen worden gezien tijdens de aanvallen, zijn andere vaak waargenomen aspect van deze tactiek. Aanvallers zijn voortdurend experimenteren met scripts, aan het leren, en hun ervaring te delen onder elkaar.
PowerShell kaders zoals PowerSploit of Empire hebben ook het moeiteloos niet alleen voor penetratie testers, maar aanvallers ook voor kwaadaardige scripts te integreren in hun toolset.
Om beter te begrijpen van de huidige landschap van Power-Shell-aangedreven aanvallen, de onderzoekers geanalyseerd meer dan 115,000 willekeurig geselecteerde kwaadaardige PowerShell command lijnen die overal werden gezien 2018. Opgemerkt moet worden dat veel van deze commando lijnen kwam van Microsoft Office-documenten of zelf-voortplantende wormen.
Een van de eerste dingen die de onderzoekers opgemerkt was het gebrek aan verduistering technieken.
Toenemend gebruik van Obfuscation in PowerShell Attacks
Ondanks dat er veel verwarring trucs die geschikt zijn voor PowerShell, evenals volledig geautomatiseerde tools die scripts kunnen verdoezelen voor de gebruikers, deze worden zelden gebruikt in het wild:
Slechts vier procent van de PowerShell command lines geanalyseerd hebben we geprobeerd om zichzelf te verdoezelen door een mengsel van een lagere- en hoofdletters. En zelfs die dat wel doen zijn vaak automatisch gegenereerd door een toolkit met een slechte aselector.
Waarom is dat? Het lijkt erop dat aanvallers het meest waarschijnlijk bewust van het feit dat PowerShell activiteit niet wordt gecontroleerd op een standaard basis.
Zelfs als het wordt bewaakt, is het nog steeds zeer goed mogelijk voor een niet-versluierde command line “te glijden onopgemerkt door de mazen". Zoals de onderzoekers zeggen - “te veel verwarring kan een rode vlag”. Er is een andere optie voor aanvallers - om een BASE64 gecodeerd blob inzetten om hun bevelen te verbergen, die gewoonlijk leidt tot een extra stap van het decoderen benodigde, voordat de lading zichtbaar. Dit wordt meestal gedaan door diverse scripts, zelfs goedaardige.
De vraag waarom kwaadaardige PowerShell-scripts worden gebruikt - het downloaden en uitvoeren van externe ladingen blijft de nummer een doel achter dergelijke aanvallen.
Van alle monsters door de Symantec onderzoeksteam analyseerde, 17 procent iets gedownload via HTTP of HTTPS. De scripts worden steeds meer robuuste en vaak proberen meerdere URL's, gebruik maken van de lokale proxy-instellingen, of stel een specifieke user agent om te slagen, concludeerden de onderzoekers.