PowerDropi pahavara

USA lennundustööstusest on saanud tundmatu kurja mõtlemisega näitleja, kes kasutab äsja avastatud PowerShellil põhinevat pahavara, mida tuntakse PowerDropina. Küberturvalisuse teadlaste aruanne näitab, et PowerDrop kasutab tuvastamise vältimiseks keerukaid meetodeid, sealhulgas pettust, kodeerimist ja krüptimist. 2023. aasta mais avastati pahavara, mis oli siirdatud USA kosmosekaitsetöövõtja süsteemidesse, mida ei avaldatud.

PowerDropi ohustavad funktsioonid ulatuvad kaugemale esialgsest juurdepääsust ja võimaldavad ohul toimida kasutusjärgse tööriistana. See tähendab, et kui ründaja pääseb alternatiivsete meetodite kaudu ohvri võrku, rakendatakse PowerDropi, et koguda ohustatud süsteemidest väärtuslikku teavet. Selle peamine eesmärk on hankida tundlikke andmeid ja teostada jälgimist ohvri võrgus. Ohu üksikasjad avaldasid Adlumini infoseci eksperdid.

PowerDropi pahavara kasutab seaduslike protsesside ja süsteemide eeliseid

Pahavara kasutab ICMP (Internet Control Message Protocol) kajapäringu sõnumeid, et luua side Command-and-Control (C2) serveriga. See võimaldab pahavaral käivitada pahatahtlikke toiminguid.

ICMP kajapäringu sõnumi saamisel vastab C2-server krüpteeritud käsuga, mis seejärel dekodeeritakse ja käivitatakse ohustatud hostis. Täidetud käsu tulemuste väljaselgitamiseks kasutatakse sarnast ICMP pingisõnumit.

Eelkõige hõlbustab PowerShelli käsu täitmist Windowsi haldusinstrumentide (WMI) teenuse kasutamine. See valik viitab vastase tahtlikule maavälise elamise taktikale, mille eesmärk on avastamisest kõrvale hiilida, kasutades selleks seaduslikke süsteemiprotsesse.

Kuigi selle ohu põhistruktuur ei pruugi olla oma olemuselt keeruka ülesehitusega, viitab selle võime varjata kahtlaseid tegevusi ja vältida lõpp-punkti turvalisuse avastamist, et kaasata keerukamaid ohus osalejaid.

Ohutegijad kasutavad üksikute ja ettevõtete võrgustike rikkumiseks mitut meetodit

Ohutegurid kasutavad ettevõtte süsteemidesse tungimiseks erinevaid meetodeid ja tehnikaid, kasutades ära organisatsiooni turvainfrastruktuuri haavatavusi ja nõrkusi. Need infiltratsioonitehnikad võivad olla mitmekesised ja keerukad, mille eesmärk on vältida kaitsemehhanisme ja saada volitamata juurdepääs tundlikule teabele. Mõned levinumad meetodid hõlmavad järgmist:

• Andmepüük ja sotsiaalne tehnika: ohustajad võivad kasutada petlikke taktikaid, nagu andmepüügimeilid või telefonikõned, et meelitada töötajaid avaldama tundlikku teavet, näiteks sisselogimismandaate või isikuandmeid. Sotsiaalse inseneri tehnikad manipuleerivad üksikisikuid, et saada volitamata juurdepääs ettevõtte süsteemidele.
• Pahavara ja ärakasutamine: Ründajad võivad ettevõtte süsteemidesse tuua esmatasandi pahavara mitmel viisil, sealhulgas pahatahtlike meilimanuste, nakatunud veebisaitide või ohustatud tarkvara kaudu. Tarkvara või süsteemide haavatavusi ära kasutades võivad ohus osalejad saada volitamata juurdepääsu ja kontrolli kriitilise infrastruktuuri üle.
• Tarneahela rünnakud: ohustajad võivad sihikule võtta kolmandatest osapooltest või nõrgemate turvameetmetega tarnijaid, kasutades ära oma süsteemide haavatavusi, et saada juurdepääs ettevõtte võrgule. Kui nad on sisenenud, saavad nad külgsuunas liikuda ja oma privileege suurendada.
• Jõhkra jõuga rünnakud: Ründajad võivad püüda saada juurdepääsu ettevõtte süsteemidele, proovides süstemaatiliselt erinevaid kasutajanimede ja paroolide kombinatsioone, kuni nad avastavad õiged mandaadid.
• Remote Desktop Protocol (RDP) rünnakud: ohustajad sihivad paljastatud RDP-porte, et saada volitamata juurdepääs ettevõtte süsteemidele. Nad võivad võrgu ohustamiseks ära kasutada nõrku paroole või RDP-tarkvara turvaauke.
• Zero-Day Exploits: Nullpäeva haavatavused viitavad tundmatutele tarkvarahaavatavustele, mille ohus osalejad avastavad enne, kui arendajad jõuavad neid parandada. Ründajad saavad neid turvaauke ära kasutada, et saada volitamata juurdepääs ettevõtte süsteemidele.

Ohutegurid arendavad pidevalt oma tehnikaid ja võtavad kasutusele uusi meetodeid, et tungida ettevõtte süsteemidesse. Selle tulemusena peavad organisatsioonid rakendama kõikehõlmavaid turvameetmeid, sealhulgas regulaarseid tarkvaravärskendusi, töötajate koolitust, võrgu segmenteerimist, sissetungimise tuvastamise süsteeme ja tugevaid juurdepääsukontrolle, et kaitsta nende sissetungimise katsete eest.