Anksčiau nenustatytas kibernetinės grėsmės veikėjas nukreipia savo dėmesį į JAV aviacijos ir kosmoso pramonę, įdiegdamas naujai atrastą PowerShell pagrįstą kenkėjišką programą, vadinamą PowerDrop . Ši pažangi kenkėjiška programa naudoja įvairias apgaulingas taktikas, kodavimo metodus ir šifravimą, kad būtų išvengta aptikimo. Pavadinimas „PowerDrop“ kilo dėl jo priklausomybės nuo „Windows PowerShell“ įrankio ir „DROP“ (DRP) eilutės, įtrauktos į užpildymo kodą.
„PowerDrop“ yra įrankis po išnaudojimo, skirtas rinkti neskelbtiną informaciją iš pažeistų tinklų, gavus neteisėtą prieigą naudojant alternatyvius metodus. Kad užmegztų ryšį su komandų ir valdymo (C2) serveriu, kenkėjiška programa naudoja interneto valdymo pranešimų protokolo (ICMP) aido užklausos pranešimus kaip švyturius. Tada C2 serveris atsako su užšifruotomis komandomis, kurios dekoduojamos ir vykdomos pažeistame pagrindiniame kompiuteryje. Panašiai ICMP ping pranešimu siekiama išfiltruoti šių instrukcijų rezultatus.
Pažymėtina, kad „PowerDrop“ naudoja „Windows Management Instrumentation“ (WMI) paslaugą, kad galėtų vykdyti „PowerShell“ komandas, parodydama, kaip grėsmės veikėjas naudoja „gyvenimo ne žemėje“ metodus, kad išvengtų aptikimo. Nors pagrindinė kenkėjiškos programos prigimtis gali būti ne itin sudėtinga, jos gebėjimas užmaskuoti įtartiną veiklą ir išvengti galutinio taško apsaugos rodo, kad dalyvauja pažangesni grėsmės veikėjai.
Turinys
Slaptos kenkėjiškų programų atakos taktikos atskleidimas
Neseniai aptiktą kenkėjišką programinę įrangą iškėlė saugumo tyrinėtojai, naudodami pažangią mašininio mokymosi aptikimo sistemą – galingą technologiją, kuri tikrina „PowerShell“ scenarijaus vykdymo turinį ir leidžia nustatyti šią sunkiai suvokiamą grėsmę. Tačiau, nepaisant šio proveržio, tiksli infekcijos grandinė ir pradinis „PowerDrop“ kompromisas tebėra apgaubtas paslapties.
Analitikai svarsto galimus metodus, kuriuos užpuolikai naudoja diegdami PowerDrop scenarijų. Tai apima pažeidžiamumų išnaudojimą, sukčiavimo el. laiškų naudojimą aukoms nukreipti ar net apgaulingos taktikos, susijusios su suklastotų programinės įrangos atsisiuntimo svetainių, naudojimą. Tikslus kelias, kuriuo PowerDrop įsiskverbė į sistemas, dar nenustatytas. Siekiant pagerinti jo slaptumą, scenarijus yra užkoduotas naudojant Base64, todėl jis gali veikti kaip užpakalinės durys arba nuotolinės prieigos Trojos arklys (RAT) . Ši sudėtinga technika leidžia „PowerDrop“ išvengti aptikimo ir išlaikyti atkaklumą pažeistose sistemose.
Gilinantis į sistemos žurnalus, atsiveria esminės įžvalgos apie „PowerDrop“ veikimo būdą. Analizė atskleidė, kad kenkėjiškas scenarijus veiksmingai panaudojo anksčiau registruotus WMI įvykių filtrus ir vartotojus, turinčius skirtingą pravardę „SystemPowerManager“. Pati kenkėjiška programa sukūrė šį sumaniai užmaskuotą mechanizmą, kai sukompromitavo sistemą naudodama komandinės eilutės įrankį „wmic.exe“.
Unikalių „PowerDrop“ savybių atskleidimas atskleidžia šiuolaikinių kibernetinių grėsmių sudėtingumą. Galimybė išvengti aptikimo ir slaptai veikti pažeistose sistemose, „PowerDrop“ yra piktavališkų veikėjų nuolatinės raidos ir išradingumo pavyzdys skaitmeninėje aplinkoje.
Anksčiau nenustatytas kibernetinės grėsmės veikėjas nukreipia savo dėmesį į JAV aviacijos ir kosmoso pramonę, įdiegdamas naujai atrastą „PowerShell“ pagrindu sukurtą kenkėjišką programą „PowerDrop“. Ši pažangi kenkėjiška programa naudoja įvairias apgaulingas taktikas, kodavimo metodus ir šifravimą, kad būtų išvengta aptikimo. Pavadinimas „PowerDrop“ kilo dėl jo priklausomybės nuo „Windows PowerShell“ įrankio ir „DROP“ (DRP) eilutės, įtrauktos į užpildymo kodą.
„PowerDrop“ yra įrankis po išnaudojimo, skirtas rinkti neskelbtiną informaciją iš pažeistų tinklų, kai alternatyviais metodais buvo gauta neteisėta prieiga. Kad užmegztų ryšį su komandų ir valdymo (C2) serveriu, kenkėjiška programa naudoja interneto valdymo pranešimų protokolo (ICMP) aido užklausos pranešimus kaip švyturius. Tada C2 serveris atsako su užšifruotomis komandomis, kurios dekoduojamos ir vykdomos pažeistame pagrindiniame kompiuteryje. Panašiai ICMP ping pranešimu siekiama išfiltruoti šių instrukcijų rezultatus.
Pažymėtina, kad „PowerDrop“ naudoja „Windows Management Instrumentation“ (WMI) paslaugą, kad galėtų vykdyti „PowerShell“ komandas, parodydama, kaip grėsmės veikėjas naudoja „gyvenimo ne žemėje“ metodus, kad išvengtų aptikimo. Nors pagrindinė kenkėjiškos programos prigimtis gali būti ne itin sudėtinga, jos gebėjimas užmaskuoti įtartiną veiklą ir išvengti galutinio taško apsaugos rodo, kad dalyvauja pažangesni grėsmės veikėjai.
Slaptos kenkėjiškų programų atakos taktikos atskleidimas
Neseniai aptiktą kenkėjišką programinę įrangą iškėlė saugumo tyrinėtojai, naudodami pažangią mašininio mokymosi aptikimo sistemą – galingą technologiją, kuri tikrina „PowerShell“ scenarijaus vykdymo turinį ir leidžia nustatyti šią sunkiai suvokiamą grėsmę. Tačiau, nepaisant šio proveržio, tiksli infekcijos grandinė ir pradinis „PowerDrop“ kompromisas tebėra apgaubtas paslapties.
Analitikai svarsto galimus metodus, kuriuos užpuolikai naudoja diegdami PowerDrop scenarijų. Tai apima pažeidžiamumų išnaudojimą, sukčiavimo el. laiškų panaudojimą aukoms nukreipti ar net apgaulingos taktikos – suklastotų programinės įrangos atsisiuntimo svetainių naudojimą. Tikslus kelias, kuriuo PowerDrop įsiskverbė į sistemas, dar nenustatytas. Siekiant pagerinti jo slaptumą, scenarijus yra užkoduotas naudojant Base64, todėl jis gali veikti kaip užpakalinės durys arba nuotolinės prieigos Trojos arklys (RAT). Ši sudėtinga technika leidžia „PowerDrop“ išvengti aptikimo ir išlaikyti atkaklumą pažeistose sistemose.
Gilinantis į sistemos žurnalus, atsiveria esminės įžvalgos apie „PowerDrop“ veikimo būdą. Analizė atskleidė, kad kenkėjiškas scenarijus veiksmingai panaudojo anksčiau registruotus WMI įvykių filtrus ir vartotojus, turinčius atskirą slapyvardį „SystemPowerManager“. Pati kenkėjiška programa sukūrė šį sumaniai užmaskuotą mechanizmą, kai sukompromitavo sistemą naudodama komandinės eilutės įrankį „wmic.exe“.
Unikalių „PowerDrop“ savybių atskleidimas atskleidžia šiuolaikinių kibernetinių grėsmių sudėtingumą. Galimybė išvengti aptikimo ir slaptai veikti pažeistose sistemose, „PowerDrop“ yra piktavališkų veikėjų nuolatinės raidos ir išradingumo pavyzdys skaitmeninėje aplinkoje.
Atakuojama JAV aviacijos ir kosmoso pramonė: naujos „PowerDrop“ kenkėjiškos programos įvedimas ekrano kopijos
