2022 december 13

Szerző: Orosz-Rizák Gergely

Kategória: Cikk, Hírek

Növekszik a fájl nélküli fenyegetések száma. Ezek a fenyegetések akkor fordulnak elő, amikor a kiberbűnözők az áldozatok rendszerében már meglévő szoftvereket használnak támadások végrehajtására, ahelyett, hogy rosszindulatú mellékletet vagy fájlt használnának. Gyakran előfordul, hogy a bűnözők kedvenc eszköze a fájl nélküli támadásokhoz a PowerShell.

A PowerShell a hackerek kedvence

A PowerShell egy már létező parancssori felület (CLI), amelyet a rendszergazdák használnak a rutinfeladatok automatizálására és a rendszerkonfiguráció kezelésére. Leginkább szkriptvégrehajtáson alapuló, kihasználás utáni támadásokhoz használják.

A hackerek a PowerShellt használják, mert

  • Könnyű kiváltságos hozzáférés: A PowerShellhez hasonló eszközhöz való hozzáférés a hálózat minden egyes rendszeréhez való hozzáférést jelenti, mivel az adminisztrátorok mindegyik rendszerben figyelik és parancsokat hajtanak végre, beleértve az Active Directoryt is.
  • Engedélyezőlistán szereplő eszköz: a PowerShell megbízható digitális aláírást jelenít meg engedélyezési listán szereplő eszközként. Ez azt jelenti, hogy könnyű felülmúlni a tűzfalakat vagy más kártevőirtó szoftvereket.
  • Könnyen végrehajtható: Számos ingyenes PowerShell-szkript létezik, amelyekhez a hackerek könnyedén hozzáférhetnek online, ingyenesen támadások végrehajtásához. A PowerShell egy nyílt forráskódú szoftver is (2016 óta), ami azt jelenti, hogy használható a támadási láncolatok minden részének végrehajtására.
  • Különböző operációs rendszerekkel kompatibilis: A PowerShellt a Linux és a macOS rendszerek, valamint a Windows támogatják.

A hackerek keretrendszereket használnak a PowerShell-támadások végrehajtására

Idővel a tesztelők azonosították a bűnözők által PowerShell-támadások végrehajtására használt keretrendszereket és eszközöket. Néhány közülük a következőket tartalmazza:

  • Empire
  • Nishang
  • Kobaltstrike
  • PowerSpolit

 Mélyebb pillantást vetünk az Empire-re, hogy megértsük, hogyan használhatnak a bűnözők egy keretrendszert egy támadás végrehajtására. Az Empire három fő összetevővel hajtható végre:

  •  a figyelő olyan rendszer, amely figyeli az RDP-kapcsolatot
  • A stager egy kódrészlet, amely rosszindulatú szkriptek futtatására használható az áldozat rendszerében egy ügynök segítségével
  • az ügynök olyan program, amely fenntartja a kapcsolatot az áldozat rendszere és a hallgató között

A támadást a következő lépésekkel hajtják végre:

  1. A támadó letölti az Empire utókihasználási eszközt a rendszerére.

  2. Az eszköz segítségével beállítanak egy hallgatót.

  3. Létrejön egy indító. A shell-indító segít lecserélni a meglévő Windows 10-szkriptet egy egyéni héjszkriptre. Ezt a fájlt átnevezték, hogy félrevezesse az áldozatot.

  4. Az áldozat letölti a rosszindulatú fájlt mondjuk egy adathalász webhelyről. Úgy töltik le, hogy jpeg fájlról van szó, de valójában ez az indító, amely összeköti az áldozat rendszerét a hallgatóval.

  5. A kapcsolat létrejötte után a támadó olyan ügynököket keres, amelyek segítségével rosszindulatú parancsfájlokat hajthat végre.

  6. Ha a talált ügynök nem rendelkezik magasabb jogosultságokkal, a támadó továbbítja azokat.

  7. A magasabb szintű jogosultságok megszerzése után a támadó ezeket felhasználhatja különféle támadások végrehajtására. Más utólagos kizsákmányolási eszközökkel, például a Mimikatz-szal is megszerezhetik a jelszó hitelesítő adatait.

Hasonló támadások hajthatók végre a fent felsorolt ​​többi penteszter eszközzel és keretrendszerrel. A Cobalt Strike egy legitim behatolást tesztelő eszköz, amelynek feltört verzióját gyakran használták támadások végrehajtására.

Kiberbiztonsági bevált módszerek a PowerShell-támadások észlelésére

Íme néhány bevált biztonsági gyakorlat, amelyet a szervezetében alkalmazhat a PowerShell-támadások észlelésére és megfékezésére:

  • Kódaláírás: Ez azt jelenti, hogy digitális tanúsítványt kell hozzáadni egy végrehajtható fájlhoz vagy szkripthez a nyomon követés és a manipuláció elkerülése érdekében.
  • Just Enough Administration (JEA): A PowerShellben a JEA segít korlátozni az egyes felhasználók adminisztratív vezérlőinek típusát, beleértve a kiváltságos felhasználókat is.
  • Korlátozott nyelvi mód: A mód engedélyezése a PowerShellben segít elkerülni bizonyos szkripteket, amelyek növelhetik a rendszerek támadásokkal szembeni sebezhetőségét.
  • Engedélyezze az átírást, a modulokat és a szkriptblokkok naplózását: A naplózás engedélyezése segít nyomon követni az egyes PowerShell-munkameneteket, figyelemmel kíséri a szkriptek és kódok végrehajtását, és rögzíti az összes információt az elemzés elősegítése érdekében, beleértve az időbélyegeket és az egyes parancsok metaadatait.

Befektetés egy SIEM megoldásba

A naplózás engedélyezése nem elég. A naplók folyamatos figyelése szükséges a rosszindulatú szkriptek észleléséhez és a lehetséges PowerShell-támadások észleléséhez. A SIEM-megoldásba való befektetés és az átírási, modul- és parancsfájlblokk-naplók elküldése segíthet nyomon követni azokat a parancsokat és végrehajtásokat, amelyek jelezhetik ezeket a támadásokat.

 

Íme néhány jelentés, amelyet a biztonsági elemző tanulmányozhat a PowerShell-támadások lehetséges mutatóinak nyomon követése érdekében a ManageEngine Log360, a MITER ATT&CK által támogatott SIEM-megoldás segítségével:

Távoli PowerShell-munkamenet létrehozása

1. ábra: Amikor egy gyanús távoli PowerShell-munkamenet jön létre (4688-as Windows eseményazonosító), a Log360 rögzíti azt a MITER ATT&CK-alapú jelentései részeként.

2. ábra: A Log360 rögzít minden gyanús távoli munkamenet-kapcsolatot, amely a WFP-n keresztül engedélyezett az 5156-os eseményazonosítóval.

A WMI megjelenése a Windows PowerShellben

3. ábra: A támadók gyakran WMI-t használnak rosszindulatú PowerShell-szkriptek végrehajtására. A Log360 rögzíti az ilyen végrehajtásokat.

PowerShell letöltési fájl

4. ábra: A Log360 végrehajtható fájlokat vagy folyamatokat rögzít, jelezve az esetleges rosszindulatú letöltéseket.

A PowerShell-szkript alkalmazáson belüli adatok futtatása

5. ábra: A rejtett AppData-könyvtárban futtatott rosszindulatú PowerShell-szkript változásokhoz vezethet a rendszeralkalmazásokban. A Log360 rögzíti az esetleges gyanús parancsokat, amelyek ezt jelezhetik a jelentéseiben.

PowerShell kódolású karakterszintaxis

6. ábra: A támadások gyakran kódolt PowerShell-kódot használnak a rosszindulatú fájlok letöltését lehetővé tevő folyamatok elindításához. A Log360 követi ezeket a parancsokat ebben a jelentésben.

Rosszindulatú Base64 kódolású PowerShell-kulcsszavak a parancssorokban

8. ábra: A Base64 kódolású PowerShell-szkriptet gyakran használják rosszindulatú parancsok végrehajtására olyan rendszerekben, amelyek ASCII formátumú adatok továbbítására szolgálnak. Minden végrehajtható fájlt, amely ezt jelzi, a Log360 naplózza.

Az Empire PowerShell indítási paraméterei

Ha többet szeretne megtudni arról, hogy a Log360 jelentések hogyan segíthetnek a PowerShell-alapú támadások észlelésében és megelőzésében, töltse le ingyenes 45 napos próbaverziónkat, és iratkozzon fel termékszakértőinkkel egy személyre szabott bemutatóra. Tapasztalja meg még ma a jobb kiberbiztonságot a Log360, egy egységes SIEM-megoldás segítségével.

Forrás: ManageEngine

 

2022 december 13

Szerző: Orosz-Rizák Gergely

Kategória: Cikk Hírek

Hírlevél. Legyen naprakész.

Kapcsolat

MWT SOLUTIONS SA1137

Budapest, Radnóti Miklós utca 2 New Work office RM2

Írjon nekünk: