Huis > Cyber ​​Nieuws > PowerShell Malware-aanvallen steeds geavanceerder 2018
CYBER NEWS

PowerShell malware-aanvallen steeds geavanceerder in 2018

door   |  Last Update:  |  0 Reacties  

Het is een trend die niet weg gaat - cybercriminelen zullen altijd proberen om beveiligingsmethoden te omzeilen met behulp van steeds geavanceerdere technieken. Dit leidt ons tot de zogenaamde fileless malware waar de effectiviteit van een aanval gaat boven verwachting. Een perfecte illustratie is hier de schaal van twee beruchte ransomware uitbraken die vorig jaar is gebeurd – Petya en WannaCry die beide ingezet fileless technieken als onderdeel van hun doden ketens.




Als toegelicht door Microsoft in een overzicht op fileless malware, Het idee achter fileless malware is simpel: als instrumenten die reeds bestaan ​​op een apparaat, zoals powershell.exe, om de doelstellingen van een aanvaller te vervullen, waarom dan vallen aangepaste instrumenten die kunnen worden gemarkeerd als malware? Als een cybercrimineel over een proces kan nemen, run code in zijn geheugen, en gebruik die code om instrumenten die al op een apparaat zijn te bellen, de aanval wordt stealthy en bijna onmogelijk op te sporen.

Verwante Story: JS_PLOWMET Fileless Windows Malware laat geen sporen van inbraak

Het toenemende gebruik van PowerShell in Fileless Malware Distribution

Schadelijke PowerShell aanvallen, in het bijzonder, verhoogd door 661 procent ten opzichte van de laatste helft van 2017 het eerste halfjaar 2018, en verdubbeld ten opzichte van het eerste kwartaal tot het tweede 2018, zoals blijkt uit een gedetailleerd rapport van Symantec.

De vooraf geïnstalleerde en veelzijdige Windows PowerShell is uitgegroeid tot een van de meest populaire keuzes in cybercriminelen aanval arsenalen, aldus de onderzoekers. Er is een stijging van geweest 661 procent in computers waar de kwaadaardige PowerShell activiteit werd geblokkeerd uit de tweede helft van 2017 het eerste halfjaar 2018 - een duidelijke aanwijzing dat malware operators nog steeds grotendeels op de inzet van PowerShell in hun aanvallen.

PowerShell-gebaseerde technieken zijn in het bijzonder gelden voor fileless malware campagnes, waar er geen bestand is geschreven naar de schijf, zoals in vele cryptogeld mijnwerkers en financiële malware. Een recent voorbeeld is hier de-s genoemd GhostMiner.




Het GhostMiner virus is een opdringerige cryptogeld Trojaans paard dat in een wereldwijde aanval werd gespot maart. Volgens de security onderzoekers dat haar zaak geanalyseerd, de dreiging werd bestempeld als “kritiek” als het werd gevonden om te kunnen verspreiden op een wereldwijde schaal met behulp van een “fileless” infiltratie.

De werkelijke infiltratie gebeurt via een aantal stappen die verder kunnen worden aangepast aan de individuele doelstellingen en de desbetreffende aanslag campagne. De aanval begint met de eerste infectie fase die noemt verschillende PowerShell fraude frameworks. Ze omzeilen de gebruikelijke bescherming besturingssysteem en kan ook optreden tegen gemeenschappelijke beveiligingssoftware: anti-virus programma's, zandbak of debug-omgevingen en virtual machine hosts. De module is ontworpen om te omzeilen of geheel verwijderen van de dreiging. In bepaalde gevallen kan de malware ervoor kiezen om zich te verwijderen als zij constateert dat de doelcomputer niet kunnen infecteren in een stealth manier.

De hele “leven van het land” tactiek, waarvan PowerShell deel uitmaakt, is erg populair deze dagen. Dual-use hulpmiddelen zoals WMI of PsExec, die algemeen worden gezien tijdens de aanvallen, zijn andere vaak waargenomen aspect van deze tactiek. Aanvallers zijn voortdurend experimenteren met scripts, aan het leren, en hun ervaring te delen onder elkaar.
PowerShell kaders zoals PowerSploit of Empire hebben ook het moeiteloos niet alleen voor penetratie testers, maar aanvallers ook voor kwaadaardige scripts te integreren in hun toolset.

Om beter te begrijpen van de huidige landschap van Power-Shell-aangedreven aanvallen, de onderzoekers geanalyseerd meer dan 115,000 willekeurig geselecteerde kwaadaardige PowerShell command lijnen die overal werden gezien 2018. Opgemerkt moet worden dat veel van deze commando lijnen kwam van Microsoft Office-documenten of zelf-voortplantende wormen.

Een van de eerste dingen die de onderzoekers opgemerkt was het gebrek aan verduistering technieken.

Verwante Story: malware Trends 2018: Hoe is het Threat Landscape Shaping?

Toenemend gebruik van Obfuscation in PowerShell Attacks

Ondanks dat er veel verwarring trucs die geschikt zijn voor PowerShell, evenals volledig geautomatiseerde tools die scripts kunnen verdoezelen voor de gebruikers, deze worden zelden gebruikt in het wild:

Slechts vier procent van de PowerShell command lines geanalyseerd hebben we geprobeerd om zichzelf te verdoezelen door een mengsel van een lagere- en hoofdletters. En zelfs die dat wel doen zijn vaak automatisch gegenereerd door een toolkit met een slechte aselector.
Waarom is dat? Het lijkt erop dat aanvallers het meest waarschijnlijk bewust van het feit dat PowerShell activiteit niet wordt gecontroleerd op een standaard basis.

Zelfs als het wordt bewaakt, is het nog steeds zeer goed mogelijk voor een niet-versluierde command line “te glijden onopgemerkt door de mazen". Zoals de onderzoekers zeggen - “te veel verwarring kan een rode vlag”. Er is een andere optie voor aanvallers - om een ​​BASE64 gecodeerd blob inzetten om hun bevelen te verbergen, die gewoonlijk leidt tot een extra stap van het decoderen benodigde, voordat de lading zichtbaar. Dit wordt meestal gedaan door diverse scripts, zelfs goedaardige.

De vraag waarom kwaadaardige PowerShell-scripts worden gebruikt - het downloaden en uitvoeren van externe ladingen blijft de nummer een doel achter dergelijke aanvallen.

Van alle monsters door de Symantec onderzoeksteam analyseerde, 17 procent iets gedownload via HTTP of HTTPS. De scripts worden steeds meer robuuste en vaak proberen meerdere URL's, gebruik maken van de lokale proxy-instellingen, of stel een specifieke user agent om te slagen, concludeerden de onderzoekers.

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Gerelateerde berichten:
  1. PII, Android en iOS: De meeste Invasieve App Machtigingen in 2018 Mobile privacy is an area that every user should be...
  2. Rio Malware 2016: Trojan-Proxy.PowerShell.Agent.a Naast ransomware, deze maand zijn er wat oudere banktrojans geweest...
  3. JS_PLOWMET Fileless Windows Malware laat geen sporen van inbraak As cybercriminals become progressively sophisticated and innovative in their criminal...
  4. Fileless Kraken Malware maakt gebruik van de Windows-foutrapportageservice Security researchers just uncovered a new fileless attack that exploits...
  5. Wat zijn de meest veilige Smartphones PRIJS TOTAAL SCORE OS VPN VERSLEUTELING TRACK BLOCK FINGERPRINT 1...
  6. Fileless Malware Plagen 140 banken Across 40 landen Eerder in verband met natie gesponsorde aanvallen zoals de Stuxnet worm, fileless...
  7. Adobe Patches 112 Kwetsbaarheden in laatste patch Package (CVE-2018-5007) Adobe heeft het nieuwste patchpakket uitgebracht dat een....
  8. Dexphot Polymorfe Malware gebruik In talrijke geavanceerde methoden Dexphot is one of the latest strains of polymorphic malware...

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens