Egy korábban azonosítatlan kiberfenyegetés-szereplő egy újonnan felfedezett PowerShell-alapú rosszindulatú program, a PowerDrop bevetésével az amerikai repülőgépipar felé irányítja a figyelmüket. Ez a fejlett rosszindulatú program különféle megtévesztő taktikákat, kódolási technikákat és titkosítást alkalmaz az észlelés elkerülése érdekében. A "PowerDrop" név a Windows PowerShell eszközre és a kitöltési kódjába beépített "DROP" (DRP) karakterláncra támaszkodik.
A PowerDrop egy utólagos kizsákmányolási eszköz, amelyet arra terveztek, hogy érzékeny információkat gyűjtsön a feltört hálózatokról, miután alternatív módszerekkel jogosulatlan hozzáféréshez jutottak. A Command-and-Control (C2) kiszolgálóval való kommunikáció rendezésére a kártevő Internet Control Message Protocol (ICMP) visszhangkérési üzeneteket használ jeladóként. A C2 szerver ezután titkosított parancsokkal válaszol, amelyeket dekódolnak és hajtanak végre a feltört gazdagépen. Hasonlóképpen, az ICMP ping üzenet célja, hogy kiszűrje ezen utasítások eredményeit.
Nevezetesen, a PowerDrop a Windows Management Instrumentation (WMI) szolgáltatást használja a PowerShell-parancsok végrehajtásához, bemutatva a fenyegetés szereplőinek „a földön kívüli” technikák használatát az észlelés elkerülésére. Noha a rosszindulatú program alapvető természete nem lehet kivételesen kifinomult, a gyanús tevékenységek elhallgatására és a végponti védelem kijátszására való képessége fejlettebb fenyegetési szereplők részvételét jelzi.
Tartalomjegyzék
A lopakodó rosszindulatú támadás taktikájának leleplezése
A közelmúltban felfedezett rosszindulatú programot biztonsági kutatók hozták napvilágra egy fejlett gépi tanulás-észlelési rendszeren keresztül – ez a hatékony technológia, amely alaposan megvizsgálja a PowerShell-szkriptek végrehajtásának tartalmát, és lehetővé teszi ennek a megfoghatatlan fenyegetésnek az azonosítását. Az áttörés ellenére azonban a PowerDrop pontos fertőzési láncát és kezdeti kompromisszumát továbbra is rejtély övezi.
Az elemzők a támadók által a PowerDrop szkript telepítéséhez használt lehetséges módszereket feltételezik. Ide tartozik a sebezhetőségek kihasználása, az adathalász e-mailek áldozatok megcélzására, vagy akár a megtévesztő szoftverletöltő oldalak megtévesztő taktikájához folyamodás. Azt a pontos utat, amelyen keresztül a PowerDrop behatolt a rendszerekbe, még nem határozták meg. Rejtett jellegének fokozása érdekében a szkriptet Base64 kódolással kódolják, ami lehetővé teszi, hogy hátsó ajtóként vagy távelérési trójaiként (RAT) működjön. Ez a kifinomult technika lehetővé teszi a PowerDrop számára, hogy elkerülje az észlelést, és fenntartsa a perzisztenciát a veszélyeztetett rendszereken belül.
A rendszernaplókban való elmélyülés döntő betekintést nyer a PowerDrop működési módjába. Az elemzés feltárta, hogy a rosszindulatú szkript hatékonyan használta fel a korábban regisztrált WMI eseményszűrőket és fogyasztókat a „SystemPowerManager” becenévvel. Maga a rosszindulatú program hozta létre ezt az ügyesen álcázott mechanizmust, amikor a 'wmic.exe' parancssori eszközzel kompromittálta a rendszert.
A PowerDrop egyedi jellemzőinek feltárása rávilágít a modern kor kiberfenyegetéseinek kifinomultságára. Azzal a képességével, hogy elkerüli az észlelést és rejtetten működik a kompromittált rendszereken belül, a PowerDrop jól példázza a rosszindulatú szereplők folyamatos fejlődését és találékonyságát a digitális környezetben.
Egy korábban azonosítatlan kiberfenyegetés szereplő az amerikai repülőgépipar felé irányítja figyelmüket egy újonnan felfedezett PowerShell-alapú rosszindulatú program, a PowerDrop bevetésével. Ez a fejlett rosszindulatú program különféle megtévesztő taktikákat, kódolási technikákat és titkosítást alkalmaz az észlelés elkerülése érdekében. A "PowerDrop" név a Windows PowerShell eszközre és a kitöltési kódjába beépített "DROP" (DRP) karakterláncra támaszkodik.
A PowerDrop egy utólagos kizsákmányolási eszköz, amelyet arra terveztek, hogy érzékeny információkat gyűjtsön a feltört hálózatokról, miután alternatív módszerekkel jogosulatlan hozzáféréshez jutottak. A Command-and-Control (C2) kiszolgálóval való kommunikáció rendezéséhez a kártevő Internet Control Message Protocol (ICMP) visszhangkérési üzeneteket használ jeladóként. A C2 szerver ezután titkosított parancsokkal válaszol, amelyeket dekódolnak és hajtanak végre a feltört gazdagépen. Hasonlóképpen, az ICMP ping üzenet célja, hogy kiszűrje ezen utasítások eredményeit.
Nevezetesen, a PowerDrop a Windows Management Instrumentation (WMI) szolgáltatást használja a PowerShell-parancsok végrehajtásához, bemutatva a fenyegetés szereplőinek „a földön kívüli” technikák használatát az észlelés elkerülésére. Bár a rosszindulatú program alapvető természete nem lehet kivételesen kifinomult, a gyanús tevékenységek elhallgatására és a végponti védelem kijátszására való képessége fejlettebb fenyegetés szereplőinek részvételét jelzi.
A lopakodó rosszindulatú támadás taktikájának leleplezése
A közelmúltban felfedezett rosszindulatú programot biztonsági kutatók hozták napvilágra egy fejlett gépi tanulás-észlelési rendszeren keresztül – ez a hatékony technológia, amely alaposan megvizsgálja a PowerShell-szkriptek végrehajtásának tartalmát, és lehetővé teszi ennek a megfoghatatlan fenyegetésnek az azonosítását. Az áttörés ellenére azonban a PowerDrop pontos fertőzési láncát és kezdeti kompromisszumát továbbra is rejtély övezi.
Az elemzők a támadók által a PowerDrop szkript telepítéséhez használt lehetséges módszereket feltételezik. Ezek közé tartozik a sebezhetőségek kihasználása, az adathalász e-mailek áldozatok megcélzására, vagy akár a megtévesztő szoftverletöltő oldalak megtévesztő taktikájához folyamodás. Azt a pontos utat, amelyen keresztül a PowerDrop behatolt a rendszerekbe, még nem határozták meg. Rejtett jellegének fokozása érdekében a szkriptet Base64 kódolással kódolják, ami lehetővé teszi, hogy hátsó ajtóként vagy távelérési trójaiként (RAT) működjön. Ez a kifinomult technika lehetővé teszi a PowerDrop számára, hogy elkerülje az észlelést, és fenntartsa a perzisztenciát a veszélyeztetett rendszereken belül.
A rendszernaplókban való elmélyülés döntő betekintést nyer a PowerDrop működési módjába. Az elemzés feltárta, hogy a rosszindulatú szkript hatékonyan használta fel a korábban regisztrált WMI eseményszűrőket és fogyasztókat a „SystemPowerManager” becenévvel. Maga a rosszindulatú program hozta létre ezt az ügyesen álcázott mechanizmust, amikor a 'wmic.exe' parancssori eszközzel kompromittálta a rendszert.
A PowerDrop egyedi jellemzőinek feltárása rávilágít a modern kor kiberfenyegetéseinek kifinomultságára. Azzal a képességével, hogy elkerüli az észlelést, és rejtetten működik a kompromittált rendszereken belül, a PowerDrop jól példázza a rosszindulatú szereplők folyamatos fejlődését és találékonyságát a digitális környezetben.
Az amerikai repülési ipar támadás alatt: az új PowerDrop malware bevezetése képernyőkép
