Iepriekš neidentificēts kiberdraudu dalībnieks pievērš uzmanību ASV aviācijas un kosmosa nozarei, izvietojot jaunatklātu uz PowerShell balstītu ļaunprogrammatūru PowerDrop . Šī uzlabotā ļaunprogrammatūra izmanto dažādas maldinošas taktikas, kodēšanas metodes un šifrēšanu, lai izvairītos no atklāšanas. Nosaukums "PowerDrop" ir cēlies no tā paļaušanās uz Windows PowerShell rīku un "DROP" (DRP) virkni, kas ir iekļauta tā kodā polsterēšanai.
PowerDrop ir pēcekspluatācijas rīks, kas paredzēts, lai savāktu sensitīvu informāciju no apdraudētiem tīkliem pēc nesankcionētas piekļuves iegūšanas, izmantojot alternatīvas metodes. Lai sakārtotu saziņu ar Command-and-Control (C2) serveri, ļaunprogrammatūra izmanto Internet Control Message Protocol (ICMP) atbalss pieprasījuma ziņojumus kā bākas. Pēc tam C2 serveris atbild ar šifrētām komandām, kas tiek dekodētas un izpildītas apdraudētajā resursdatorā. Tāpat ICMP ping ziņojuma mērķis ir izfiltrēt šo norādījumu rezultātus.
Konkrēti, PowerDrop izmanto Windows pārvaldības instrumentācijas (WMI) pakalpojumu, lai izpildītu PowerShell komandas, parādot, kā apdraudējuma dalībnieki izmanto "dzīves ārpus zemes" metodes, lai izvairītos no atklāšanas. Lai gan ļaunprogrammatūras būtība var nebūt īpaši sarežģīta, tās spēja apslēpt aizdomīgas darbības un izvairīties no galapunkta aizsardzības liecina par progresīvāku apdraudējuma dalībnieku iesaistīšanos.
Satura rādītājs
Slepena ļaunprātīgas programmatūras uzbrukuma taktikas atklāšana
Nesen atklāto ļaunprogrammatūru ir atklājuši drošības pētnieki, izmantojot uzlabotu mašīnmācīšanās noteikšanas sistēmu — jaudīgu tehnoloģiju, kas rūpīgi pārbauda PowerShell skriptu izpildes saturu, ļaujot identificēt šo nenotveramo draudu. Tomēr, neskatoties uz šo izrāvienu, precīza infekcijas ķēde un sākotnējais PowerDrop kompromiss joprojām ir noslēpumā tīts.
Analītiķi spekulē par iespējamām metodēm, ko uzbrucēji izmanto, lai izvietotu PowerDrop skriptu. Tie ietver ievainojamību izmantošanu, pikšķerēšanas e-pasta ziņojumu izmantošanu, lai mērķētu uz upuriem, vai pat viltus programmatūras lejupielādes vietņu maldinošas taktikas izmantošana. Precīzs ceļš, pa kuru PowerDrop iekļuva sistēmās, vēl nav noteikts. Lai uzlabotu tā slēpto raksturu, skripts tiek kodēts, izmantojot Base64, ļaujot tam darboties kā aizmugures durvīm vai attālās piekļuves Trojas zirgam (RAT) . Šī izsmalcinātā tehnika ļauj PowerDrop izvairīties no atklāšanas un saglabāt noturību kompromitētās sistēmās.
Iedziļinoties sistēmas žurnālos, tiek atklāts būtisks ieskats PowerDrop darbības režīmā. Analīze atklāja, ka ļaunprātīgais skripts efektīvi izmantoja iepriekš reģistrētos WMI notikumu filtrus un patērētājus ar atšķirīgu nosaukumu "SystemPowerManager". Pati ļaunprogrammatūra izveidoja šo gudri maskēto mehānismu, kompromitējot sistēmu, izmantojot komandrindas rīku “wmic.exe”.
PowerDrop unikālo īpašību atklāšana atklāj mūsdienu kiberdraudu sarežģītību. Ar savu spēju izvairīties no atklāšanas un slēpti darboties kompromitētās sistēmās, PowerDrop parāda ļaunprātīgu dalībnieku pastāvīgu attīstību un atjautību digitālajā vidē.
Iepriekš neidentificēts kiberdraudu dalībnieks pievērš uzmanību ASV aviācijas un kosmosa nozarei, izvietojot jaunatklātu uz PowerShell balstītu ļaunprogrammatūru PowerDrop. Šī uzlabotā ļaunprogrammatūra izmanto dažādas maldinošas taktikas, kodēšanas metodes un šifrēšanu, lai izvairītos no atklāšanas. Nosaukums "PowerDrop" ir cēlies no tā paļaušanās uz Windows PowerShell rīku un "DROP" (DRP) virkni, kas ir iekļauta tā kodā polsterēšanai.
PowerDrop ir pēcekspluatācijas rīks, kas paredzēts, lai savāktu sensitīvu informāciju no apdraudētiem tīkliem pēc nesankcionētas piekļuves iegūšanas, izmantojot alternatīvas metodes. Lai sakārtotu saziņu ar Command-and-Control (C2) serveri, ļaunprogrammatūra izmanto Internet Control Message Protocol (ICMP) atbalss pieprasījuma ziņojumus kā bākas. Pēc tam C2 serveris atbild ar šifrētām komandām, kas tiek dekodētas un izpildītas apdraudētajā resursdatorā. Tāpat ICMP ping ziņojuma mērķis ir izfiltrēt šo norādījumu rezultātus.
Konkrēti, PowerDrop izmanto Windows pārvaldības instrumentācijas (WMI) pakalpojumu, lai izpildītu PowerShell komandas, parādot, kā apdraudējuma dalībnieki izmanto "dzīves ārpus zemes" metodes, lai izvairītos no atklāšanas. Lai gan ļaunprogrammatūras būtība var nebūt īpaši sarežģīta, tās spēja apslēpt aizdomīgas darbības un izvairīties no galapunkta aizsardzības liecina par progresīvāku apdraudējuma dalībnieku iesaistīšanos.
Slepena ļaunprātīgas programmatūras uzbrukuma taktikas atklāšana
Nesen atklāto ļaunprogrammatūru ir atklājuši drošības pētnieki, izmantojot uzlabotu mašīnmācīšanās noteikšanas sistēmu — jaudīgu tehnoloģiju, kas rūpīgi pārbauda PowerShell skriptu izpildes saturu, ļaujot identificēt šo nenotveramo draudu. Tomēr, neskatoties uz šo izrāvienu, precīza infekcijas ķēde un sākotnējais PowerDrop kompromiss joprojām ir noslēpumā tīts.
Analītiķi spekulē par iespējamām metodēm, ko uzbrucēji izmanto, lai izvietotu PowerDrop skriptu. Tie ietver ievainojamību izmantošanu, pikšķerēšanas e-pasta ziņojumu izmantošanu, lai mērķētu uz upuriem, vai pat viltus programmatūras lejupielādes vietņu maldinošas taktikas izmantošana. Precīzs ceļš, pa kuru PowerDrop iekļuva sistēmās, vēl nav noteikts. Lai uzlabotu tā slēpto raksturu, skripts tiek kodēts, izmantojot Base64, ļaujot tam darboties kā aizmugures durvīm vai attālās piekļuves Trojas zirgam (RAT). Šī izsmalcinātā tehnika ļauj PowerDrop izvairīties no atklāšanas un saglabāt noturību kompromitētās sistēmās.
Iedziļinoties sistēmas žurnālos, tiek atklāts būtisks ieskats PowerDrop darbības režīmā. Analīze atklāja, ka ļaunprātīgais skripts efektīvi izmantoja iepriekš reģistrētos WMI notikumu filtrus un patērētājus ar atšķirīgu nosaukumu "SystemPowerManager". Pati ļaunprogrammatūra izveidoja šo gudri maskēto mehānismu, kompromitējot sistēmu, izmantojot komandrindas rīku “wmic.exe”.
PowerDrop unikālo īpašību atklāšana atklāj mūsdienu kiberdraudu sarežģītību. Ar savu spēju izvairīties no atklāšanas un slēpti darboties kompromitētās sistēmās, PowerDrop parāda ļaunprātīgu dalībnieku pastāvīgu attīstību un atjautību digitālajā vidē.
ASV aviācijas un kosmosa nozare uzbrukumā: jaunas ļaunprogrammatūras PowerDrop ieviešana ekrānuzņēmumi
