É uma tendência que não está desaparecendo - os cibercriminosos sempre tentarão contornar as defesas de segurança com a ajuda de técnicas cada vez mais sofisticadas. Isso nos leva ao chamado malware sem arquivo, em que a eficácia de um ataque vai além das expectativas. Uma ilustração perfeita aqui é a escala de dois infames surtos de ransomware que aconteceram no ano passado – Ambos Petya e WannaCry implantaram técnicas sem arquivo como parte de suas cadeias de destruição.
Como explicado pela Microsoft em uma visão geral sobre malware sem arquivo, a ideia por trás do malware sem arquivo é simples: se as ferramentas já existem em um dispositivo, como PowerShell.exe, para cumprir os objetivos de um invasor, então, por que abandonar ferramentas personalizadas que podem ser sinalizadas como malware? Se um cibercriminoso pode assumir um processo, executar código em seu espaço de memória, e usar esse código para chamar ferramentas que já estão em um dispositivo, o ataque se torna furtivo e quase impossível de detectar.
O uso crescente do PowerShell na distribuição de malware sem arquivo
Ataques maliciosos de PowerShell, em particular, aumentado por 661 por cento da última metade de 2017 para a primeira metade de 2018, e dobrou do primeiro para o segundo de 2018, como evidenciado por um relatório detalhado da Symantec.
O Windows PowerShell pré-instalado e versátil se tornou uma das escolhas mais populares nos arsenais de ataque dos cibercriminosos, os pesquisadores disseram. Tem havido um aumento de 661 por cento em computadores onde a atividade maliciosa do PowerShell foi bloqueada a partir da segunda metade do 2017 para a primeira metade de 2018 - uma indicação clara de que os operadores de malware ainda dependem amplamente da implantação do PowerShell em seus ataques.
As técnicas baseadas em PowerShell são especialmente válidas para campanhas de malware sem arquivo, onde nenhum arquivo é gravado no disco, como em muitos mineradores de criptomoedas e malware financeiro. Um exemplo recente aqui é o chamado GhostMiner.
o Vírus GhostMiner é um Trojan criptomoeda intrusivo que foi detectado em um ataque mundial em março. De acordo com os pesquisadores de segurança que analisaram seu caso, a ameaça foi rotulada como "crítica", pois se descobriu que era capaz de se espalhar em escala global usando uma infiltração "sem arquivo".
A infiltração real acontece utilizando um processo de vários passos que podem ser ainda modificados de acordo com os alvos individuais e a campanha de ataque relevante. O ataque começa com a fase inicial de infecção que depende de várias estruturas de evasão do PowerShell. Eles burlar a proteção habitual sistema operacional e também pode agir contra software de segurança comum: programas anti-vírus, ambientes sandbox ou de depuração e hosts de máquina virtual. O módulo foi projetado para contornar ou eliminar totalmente a ameaça. Em certos casos, o malware pode optar por excluir-se se verificar que não pode infectar o computador de destino de uma maneira furtiva.
Toda a tática de "viver da terra", do qual o PowerShell faz parte, é muito popular hoje em dia. Ferramentas de uso duplo, como WMI ou PsExec, que são comumente vistos durante ataques, são outro aspecto frequentemente observado desta tática. Os invasores estão constantemente experimentando scripts, Aprendendo, e compartilhando suas experiências entre si.
Estruturas do PowerShell como PowerSploit ou Empire também tornaram fácil não apenas para testadores de penetração, mas também invasores para incorporar scripts maliciosos em seu conjunto de ferramentas.
Para entender melhor o cenário atual de ataques com Power Shell, Os pesquisadores analisado mais que 115,000 linhas de comando do PowerShell maliciosas selecionadas aleatoriamente que foram vistas em todo 2018. Deve-se observar que muitas dessas linhas de comando vieram de documentos do Microsoft Office ou worms de autopropagação.
Uma das primeiras coisas que os pesquisadores notaram foi a falta de técnicas de ofuscação.
Diminuição do uso de ofuscação em ataques do PowerShell
Apesar disso, existem muitos truques de ofuscação adequados para PowerShell, bem como ferramentas totalmente automatizadas que podem ofuscar scripts para usuários, estes raramente são usados na natureza:
Apenas quatro por cento das linhas de comando do PowerShell que analisamos tentaram se ofuscar usando uma mistura de- e letras maiúsculas. E mesmo aqueles que o fazem são frequentemente gerados automaticamente por algum kit de ferramentas com um aleatorizador pobre.
Por que é que? Parece que os invasores provavelmente estão cientes do fato de que a atividade do PowerShell não é monitorada por padrão.
Mesmo que seja monitorado, ainda é altamente possível para uma linha de comando não ofuscada “escorregar despercebido pelas rachaduras”. Como os pesquisadores colocaram - “muita ofuscação pode ser uma bandeira vermelha ”. Há outra opção para os invasores - implantar um blob codificado em BASE64 para ocultar seus comandos, o que geralmente leva a uma etapa extra de decodificação necessária, antes que a carga útil possa ser vista. Isso geralmente é feito por vários scripts, mesmo os benignos.
Quanto ao motivo do uso de scripts PowerShell maliciosos - o download e a execução de cargas remotas continua sendo o objetivo número um por trás de tais ataques.
De todas as amostras analisadas pela equipe de pesquisa da Symantec, 17 por cento baixou algo por meio de HTTP ou HTTPS. Os scripts estão ficando mais robustos e frequentemente tentam vários URLs, use as configurações de proxy local, ou definir um agente de usuário específico para ter sucesso, os pesquisadores concluíram.