Претходно неидентификовани актер сајбер претњи усмерава њихову пажњу на америчку авио-индустрију тако што примењује новооткривени злонамерни софтвер заснован на ПоверСхелл-у под називом ПоверДроп . Овај напредни злонамерни софтвер користи различите тактике обмањивања, технике кодирања и шифровање како би избегао откривање. Назив „ПоверДроп“ потиче од његовог ослањања на Виндовс ПоверСхелл алат и „ДРОП“ (ДРП) стринг уграђен у његов код за допуну.
ПоверДроп је алатка за пост-експлоатацију дизајнирана да прикупи осетљиве информације са угрожених мрежа након добијања неовлашћеног приступа алтернативним методама. Да би успоставио комуникацију са сервером за команду и контролу (Ц2), злонамерни софтвер користи ехо поруке протокола Интернет контролне поруке (ИЦМП) као сигналне сигнале. Ц2 сервер затим одговара шифрованим командама које су декодиране и извршене на компромитованом хосту. Слично, ИЦМП пинг порука има за циљ да извуче резултате ових упутстава.
Посебно, ПоверДроп користи услугу Виндовс Манагемент Инструментатион (ВМИ) за извршавање команди ПоверСхелл-а, показујући да актери претње користе технике „живота ван земље“ како би избегао откривање. Иако суштинска природа малвера можда није изузетно софистицирана, његова способност да прикрије сумњиве активности и избегне одбрану крајње тачке указује на умешаност напреднијих актера претњи.
Преглед садржаја
Разоткривање тактике прикривеног малвер напада
Недавно откривени малвер открили су истраживачи безбедности путем напредног система за детекцију машинског учења – моћне технологије која пажљиво испитује садржај извршења ПоверСхелл скрипте, омогућавајући идентификацију ове неухватљиве претње. Међутим, упркос овом продору, тачан ланац инфекције и почетни компромис ПоверДроп-а остају обавијени велом мистерије.
Аналитичари спекулишу о потенцијалним методама које користе нападачи да би применили ПоверДроп скрипту. То укључује искоришћавање рањивости, коришћење е-поште за крађу идентитета за циљање жртава, или чак прибегавање обмањивачкој тактици лажних локација за преузимање софтвера. Тачан пут којим се ПоверДроп инфилтрирао у системе тек треба да се утврди. Да би се побољшала његова скривена природа, скрипта је кодирана помоћу Басе64, што јој омогућава да функционише као бацкдоор или тројанац за даљински приступ (РАТ) . Ова софистицирана техника омогућава ПоверДроп-у да избегне откривање и одржи постојаност унутар компромитованих система.
Удубљивање у системске евиденције открива кључне увиде у ПоверДроп модус операнди. Анализа је открила да је злонамерна скрипта ефективно користила претходно регистроване филтере ВМИ догађаја и потрошаче са посебним именом „СистемПоверМанагер“. Сам злонамерни софтвер је створио овај вешто камуфлирани механизам након што је компромитовао систем користећи алатку командне линије 'вмиц.еке'.
Откривање јединствених карактеристика ПоверДроп-а баца светло на софистицираност савремених сајбер претњи. Својом способношћу да избегне откривање и прикривено ради у оквиру компромитованих система, ПоверДроп представља пример сталне еволуције и домишљатости злонамерних актера у дигиталном окружењу.
Раније неидентификовани актер сајбер претњи усмерава њихову пажњу на америчку авио-индустрију тако што примењује новооткривени злонамерни софтвер заснован на ПоверСхелл-у под називом ПоверДроп. Овај напредни злонамерни софтвер користи различите тактике обмањивања, технике кодирања и шифровање како би избегао откривање. Назив „ПоверДроп“ потиче од његовог ослањања на Виндовс ПоверСхелл алат и „ДРОП“ (ДРП) стринг уграђен у његов код за допуну.
ПоверДроп је алатка за пост-експлоатацију дизајнирана да прикупи осетљиве информације са угрожених мрежа након добијања неовлашћеног приступа алтернативним методама. Да би успоставио комуникацију са сервером за команду и контролу (Ц2), злонамерни софтвер користи ехо поруке протокола Интернет контролне поруке (ИЦМП) као сигналне сигнале. Ц2 сервер затим одговара шифрованим командама које су декодиране и извршене на компромитованом хосту. Слично, ИЦМП пинг порука има за циљ да извуче резултате ових упутстава.
Посебно, ПоверДроп користи услугу Виндовс Манагемент Инструментатион (ВМИ) за извршавање команди ПоверСхелл-а, показујући да актери претње користе технике „живота ван земље“ како би избегао откривање. Иако суштинска природа малвера можда није изузетно софистицирана, његова способност да прикрије сумњиве активности и избегне одбрану крајње тачке указује на умешаност напреднијих актера претњи.
Разоткривање тактике прикривеног напада злонамерног софтвера
Недавно откривени малвер открили су истраживачи безбедности путем напредног система за детекцију машинског учења – моћне технологије која пажљиво испитује садржај извршења ПоверСхелл скрипте, омогућавајући идентификацију ове неухватљиве претње. Међутим, упркос овом продору, тачан ланац инфекције и почетни компромис ПоверДроп-а остају обавијени велом мистерије.
Аналитичари спекулишу о потенцијалним методама које користе нападачи да би применили ПоверДроп скрипту. То укључује искоришћавање рањивости, коришћење е-поште за крађу идентитета за циљање жртава, или чак прибегавање обмањивачкој тактици лажних локација за преузимање софтвера. Тачан пут којим се ПоверДроп инфилтрирао у системе тек треба да се утврди. Да би се побољшала његова скривена природа, скрипта је кодирана помоћу Басе64, што јој омогућава да функционише као бацкдоор или тројанац за даљински приступ (РАТ). Ова софистицирана техника омогућава ПоверДроп-у да избегне откривање и одржи постојаност унутар компромитованих система.
Удубљивање у системске евиденције открива кључне увиде у ПоверДроп модус операнди. Анализа је открила да је злонамерна скрипта ефикасно користила претходно регистроване филтере ВМИ догађаја и потрошаче са посебним надимком „СистемПоверМанагер“. Сам злонамерни софтвер је створио овај вешто камуфлирани механизам након што је компромитовао систем користећи алатку командне линије 'вмиц.еке'.
Откривање јединствених карактеристика ПоверДроп-а баца светло на софистицираност савремених сајбер претњи. Својом способношћу да избегне откривање и прикривено ради у оквиру компромитованих система, ПоверДроп представља пример сталне еволуције и домишљатости злонамерних актера у дигиталном окружењу.
Америчка ваздухопловна индустрија под нападом: Увођење новог злонамерног софтвера ПоверДроп снимака екрана
