Casa > cibernético Notícias > Ataques de malware do PowerShell cada vez mais sofisticados em 2018
CYBER NEWS

Ataques de malware do PowerShell cada vez mais sofisticados em 2018

É uma tendência que não está desaparecendo - os cibercriminosos sempre tentarão contornar as defesas de segurança com a ajuda de técnicas cada vez mais sofisticadas. Isso nos leva ao chamado malware sem arquivo, em que a eficácia de um ataque vai além das expectativas. Uma ilustração perfeita aqui é a escala de dois infames surtos de ransomware que aconteceram no ano passado – Ambos Petya e WannaCry implantaram técnicas sem arquivo como parte de suas cadeias de destruição.




Como explicado pela Microsoft em uma visão geral sobre malware sem arquivo, a ideia por trás do malware sem arquivo é simples: se as ferramentas já existem em um dispositivo, como PowerShell.exe, para cumprir os objetivos de um invasor, então, por que abandonar ferramentas personalizadas que podem ser sinalizadas como malware? Se um cibercriminoso pode assumir um processo, executar código em seu espaço de memória, e usar esse código para chamar ferramentas que já estão em um dispositivo, o ataque se torna furtivo e quase impossível de detectar.

Story relacionado: JS_PLOWMET Fileless malwares do Windows não deixa rastros de Intrusão

O uso crescente do PowerShell na distribuição de malware sem arquivo

Ataques maliciosos de PowerShell, em particular, aumentado por 661 por cento da última metade de 2017 para a primeira metade de 2018, e dobrou do primeiro para o segundo de 2018, como evidenciado por um relatório detalhado da Symantec.

O Windows PowerShell pré-instalado e versátil se tornou uma das escolhas mais populares nos arsenais de ataque dos cibercriminosos, os pesquisadores disseram. Tem havido um aumento de 661 por cento em computadores onde a atividade maliciosa do PowerShell foi bloqueada a partir da segunda metade do 2017 para a primeira metade de 2018 - uma indicação clara de que os operadores de malware ainda dependem amplamente da implantação do PowerShell em seus ataques.

As técnicas baseadas em PowerShell são especialmente válidas para campanhas de malware sem arquivo, onde nenhum arquivo é gravado no disco, como em muitos mineradores de criptomoedas e malware financeiro. Um exemplo recente aqui é o chamado GhostMiner.




o Vírus GhostMiner é um Trojan criptomoeda intrusivo que foi detectado em um ataque mundial em março. De acordo com os pesquisadores de segurança que analisaram seu caso, a ameaça foi rotulada como "crítica", pois se descobriu que era capaz de se espalhar em escala global usando uma infiltração "sem arquivo".

A infiltração real acontece utilizando um processo de vários passos que podem ser ainda modificados de acordo com os alvos individuais e a campanha de ataque relevante. O ataque começa com a fase inicial de infecção que depende de várias estruturas de evasão do PowerShell. Eles burlar a proteção habitual sistema operacional e também pode agir contra software de segurança comum: programas anti-vírus, ambientes sandbox ou de depuração e hosts de máquina virtual. O módulo foi projetado para contornar ou eliminar totalmente a ameaça. Em certos casos, o malware pode optar por excluir-se se verificar que não pode infectar o computador de destino de uma maneira furtiva.

Toda a tática de "viver da terra", do qual o PowerShell faz parte, é muito popular hoje em dia. Ferramentas de uso duplo, como WMI ou PsExec, que são comumente vistos durante ataques, são outro aspecto frequentemente observado desta tática. Os invasores estão constantemente experimentando scripts, Aprendendo, e compartilhando suas experiências entre si.
Estruturas do PowerShell como PowerSploit ou Empire também tornaram fácil não apenas para testadores de penetração, mas também invasores para incorporar scripts maliciosos em seu conjunto de ferramentas.

Para entender melhor o cenário atual de ataques com Power Shell, Os pesquisadores analisado mais que 115,000 linhas de comando do PowerShell maliciosas selecionadas aleatoriamente que foram vistas em todo 2018. Deve-se observar que muitas dessas linhas de comando vieram de documentos do Microsoft Office ou worms de autopropagação.

Uma das primeiras coisas que os pesquisadores notaram foi a falta de técnicas de ofuscação.

Story relacionado: Malware Trends 2018: Como é a ameaça Paisagem Shaping?

Diminuição do uso de ofuscação em ataques do PowerShell

Apesar disso, existem muitos truques de ofuscação adequados para PowerShell, bem como ferramentas totalmente automatizadas que podem ofuscar scripts para usuários, estes raramente são usados ​​na natureza:

Apenas quatro por cento das linhas de comando do PowerShell que analisamos tentaram se ofuscar usando uma mistura de- e letras maiúsculas. E mesmo aqueles que o fazem são frequentemente gerados automaticamente por algum kit de ferramentas com um aleatorizador pobre.
Por que é que? Parece que os invasores provavelmente estão cientes do fato de que a atividade do PowerShell não é monitorada por padrão.

Mesmo que seja monitorado, ainda é altamente possível para uma linha de comando não ofuscada “escorregar despercebido pelas rachaduras”. Como os pesquisadores colocaram - “muita ofuscação pode ser uma bandeira vermelha ”. Há outra opção para os invasores - implantar um blob codificado em BASE64 para ocultar seus comandos, o que geralmente leva a uma etapa extra de decodificação necessária, antes que a carga útil possa ser vista. Isso geralmente é feito por vários scripts, mesmo os benignos.

Quanto ao motivo do uso de scripts PowerShell maliciosos - o download e a execução de cargas remotas continua sendo o objetivo número um por trás de tais ataques.

De todas as amostras analisadas pela equipe de pesquisa da Symantec, 17 por cento baixou algo por meio de HTTP ou HTTPS. Os scripts estão ficando mais robustos e frequentemente tentam vários URLs, use as configurações de proxy local, ou definir um agente de usuário específico para ter sucesso, os pesquisadores concluíram.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo