Експертите по информационна безопасност на компанията Adlumin са открили нов зловреден скрипт, носещ името "PowerDrop", който използва PowerShell и WMI, за да инжектира скрит троянски кон за отдалечен достъп в компрометираните мрежи. Скриптът е открит от експертите в мрежата на американски отбранителен предприемач и изглежда е създаден от хакерска група, спонсорирана ма държавно ниво.
PowerDrop е скрипт на PowerShell, изпълняван от Windows Management Instrumentation (WMI) и кодиран с помощта на Base64 алгоритъма, за да действа като задна врата или RAT - (Remote Acces Trojan, RAT).
Преглеждайки системните логове, изследователите откриха, че злонамереният скрипт е използван с помощта на предварително регистрирани филтри за WMI и потребителски събития с име SystemPowerManager, създадени от злонамерения софтуер при компрометиране на системата с помощта на инструмента за команден ред "wmic.exe".
Според Adlumin филтърът за събития на WMI се задейства, когато класът се актуализира, което пък стартира изпълнението на PowerShell скрипта. Филтърът е настроен да се задейства веднъж на всеки 120 секунди.
След като бъде активиран, PowerDrop изпраща криптирана ICMP заявка до своя командно-контролен сървър, съобщавайки за успешното заразяване. След това изчаква 60 секунди за отговор, който обикновено съдържа команда за изпълнение.
След това скриптът декриптира отговора, който получава от сървъра, като пакет данни, използвайки твърдо кодиран 128-битов AES ключ и 128-битов вектор за инициализация, след което изпълнява командата на заразения хост.
След изпълнението на командата PowerDrop изпраща резултатите обратно към командния сървър и ако те са твърде големи и могат да предизвикат сработване на антивирусната защита, ги разделя на 128-байтови фрагменти, които след това се предават под формата на поток от множество съобщения.
Изследователите от Adlumin стигат до заключението, че използването на PowerShell и WMI от хакерите, съчетано с факта, че PowerDrop никога не се обръща към диска, работи единствено в оперативната памет и всички негови комуникации със командния сървър са внимателно криптирани, прави заплахата скрита и много опасна.
"Тъй като работи с помощта на Windows PowerShel, малуерът PowerDrop по принцип има пълен достъп до компютърната система" - обяснява Кевин О'Конър, директор на отдела за изследване на заплахите за информационната безопасност в Adlumin. "Той работи с административни права и дава възможност на хакерите да изпълняват всякакви отдалечени команди".
Експертът специално подчертава, че PowerDrop не е нищо повече от един PowerShell скрипт. Той предлага няколко стъпки, които компаниите от подобен род с твърде чувствителна информация трябва да направят. Първата е съставянето на бели списъци, в които са вписани приложенията и процесите, които имат право да работят в операционната система.
Коментари
Моля, регистрирайте се от TУК!
Ако вече имате регистрация, натиснете ТУК!
Няма коментари към тази новина !
Последни коментари