Növekszik a fájl nélküli fenyegetések száma. Ezek a fenyegetések akkor fordulnak elő, amikor a kiberbűnözők az áldozatok rendszerében már meglévő szoftvereket használnak támadások végrehajtására, ahelyett, hogy rosszindulatú mellékletet vagy fájlt használnának. Gyakran előfordul, hogy a bűnözők kedvenc eszköze a fájl nélküli támadásokhoz a PowerShell.
A PowerShell a hackerek kedvence
A PowerShell egy már létező parancssori felület (CLI), amelyet a rendszergazdák használnak a rutinfeladatok automatizálására és a rendszerkonfiguráció kezelésére. Leginkább szkriptvégrehajtáson alapuló, kihasználás utáni támadásokhoz használják.
A hackerek a PowerShellt használják, mert
- Könnyű kiváltságos hozzáférés: A PowerShellhez hasonló eszközhöz való hozzáférés a hálózat minden egyes rendszeréhez való hozzáférést jelenti, mivel az adminisztrátorok mindegyik rendszerben figyelik és parancsokat hajtanak végre, beleértve az Active Directoryt is.
- Engedélyezőlistán szereplő eszköz: a PowerShell megbízható digitális aláírást jelenít meg engedélyezési listán szereplő eszközként. Ez azt jelenti, hogy könnyű felülmúlni a tűzfalakat vagy más kártevőirtó szoftvereket.
- Könnyen végrehajtható: Számos ingyenes PowerShell-szkript létezik, amelyekhez a hackerek könnyedén hozzáférhetnek online, ingyenesen támadások végrehajtásához. A PowerShell egy nyílt forráskódú szoftver is (2016 óta), ami azt jelenti, hogy használható a támadási láncolatok minden részének végrehajtására.
- Különböző operációs rendszerekkel kompatibilis: A PowerShellt a Linux és a macOS rendszerek, valamint a Windows támogatják.
A hackerek keretrendszereket használnak a PowerShell-támadások végrehajtására
Idővel a tesztelők azonosították a bűnözők által PowerShell-támadások végrehajtására használt keretrendszereket és eszközöket. Néhány közülük a következőket tartalmazza:
- Empire
- Nishang
- Kobaltstrike
- PowerSpolit
Mélyebb pillantást vetünk az Empire-re, hogy megértsük, hogyan használhatnak a bűnözők egy keretrendszert egy támadás végrehajtására. Az Empire három fő összetevővel hajtható végre:
- a figyelő olyan rendszer, amely figyeli az RDP-kapcsolatot
- A stager egy kódrészlet, amely rosszindulatú szkriptek futtatására használható az áldozat rendszerében egy ügynök segítségével
- az ügynök olyan program, amely fenntartja a kapcsolatot az áldozat rendszere és a hallgató között
A támadást a következő lépésekkel hajtják végre:
- A támadó letölti az Empire utókihasználási eszközt a rendszerére.
- Az eszköz segítségével beállítanak egy hallgatót.
- Létrejön egy indító. A shell-indító segít lecserélni a meglévő Windows 10-szkriptet egy egyéni héjszkriptre. Ezt a fájlt átnevezték, hogy félrevezesse az áldozatot.
- Az áldozat letölti a rosszindulatú fájlt mondjuk egy adathalász webhelyről. Úgy töltik le, hogy jpeg fájlról van szó, de valójában ez az indító, amely összeköti az áldozat rendszerét a hallgatóval.
- A kapcsolat létrejötte után a támadó olyan ügynököket keres, amelyek segítségével rosszindulatú parancsfájlokat hajthat végre.
- Ha a talált ügynök nem rendelkezik magasabb jogosultságokkal, a támadó továbbítja azokat.
- A magasabb szintű jogosultságok megszerzése után a támadó ezeket felhasználhatja különféle támadások végrehajtására. Más utólagos kizsákmányolási eszközökkel, például a Mimikatz-szal is megszerezhetik a jelszó hitelesítő adatait.
Hasonló támadások hajthatók végre a fent felsorolt többi penteszter eszközzel és keretrendszerrel. A Cobalt Strike egy legitim behatolást tesztelő eszköz, amelynek feltört verzióját gyakran használták támadások végrehajtására.
Kiberbiztonsági bevált módszerek a PowerShell-támadások észlelésére
Íme néhány bevált biztonsági gyakorlat, amelyet a szervezetében alkalmazhat a PowerShell-támadások észlelésére és megfékezésére:
- Kódaláírás: Ez azt jelenti, hogy digitális tanúsítványt kell hozzáadni egy végrehajtható fájlhoz vagy szkripthez a nyomon követés és a manipuláció elkerülése érdekében.
- Just Enough Administration (JEA): A PowerShellben a JEA segít korlátozni az egyes felhasználók adminisztratív vezérlőinek típusát, beleértve a kiváltságos felhasználókat is.
- Korlátozott nyelvi mód: A mód engedélyezése a PowerShellben segít elkerülni bizonyos szkripteket, amelyek növelhetik a rendszerek támadásokkal szembeni sebezhetőségét.
- Engedélyezze az átírást, a modulokat és a szkriptblokkok naplózását: A naplózás engedélyezése segít nyomon követni az egyes PowerShell-munkameneteket, figyelemmel kíséri a szkriptek és kódok végrehajtását, és rögzíti az összes információt az elemzés elősegítése érdekében, beleértve az időbélyegeket és az egyes parancsok metaadatait.
Befektetés egy SIEM megoldásba
A naplózás engedélyezése nem elég. A naplók folyamatos figyelése szükséges a rosszindulatú szkriptek észleléséhez és a lehetséges PowerShell-támadások észleléséhez. A SIEM-megoldásba való befektetés és az átírási, modul- és parancsfájlblokk-naplók elküldése segíthet nyomon követni azokat a parancsokat és végrehajtásokat, amelyek jelezhetik ezeket a támadásokat.
Íme néhány jelentés, amelyet a biztonsági elemző tanulmányozhat a PowerShell-támadások lehetséges mutatóinak nyomon követése érdekében a ManageEngine Log360, a MITER ATT&CK által támogatott SIEM-megoldás segítségével:
Távoli PowerShell-munkamenet létrehozása
1. ábra: Amikor egy gyanús távoli PowerShell-munkamenet jön létre (4688-as Windows eseményazonosító), a Log360 rögzíti azt a MITER ATT&CK-alapú jelentései részeként.
2. ábra: A Log360 rögzít minden gyanús távoli munkamenet-kapcsolatot, amely a WFP-n keresztül engedélyezett az 5156-os eseményazonosítóval.
A WMI megjelenése a Windows PowerShellben
3. ábra: A támadók gyakran WMI-t használnak rosszindulatú PowerShell-szkriptek végrehajtására. A Log360 rögzíti az ilyen végrehajtásokat.
PowerShell letöltési fájl
4. ábra: A Log360 végrehajtható fájlokat vagy folyamatokat rögzít, jelezve az esetleges rosszindulatú letöltéseket.
A PowerShell-szkript alkalmazáson belüli adatok futtatása
5. ábra: A rejtett AppData-könyvtárban futtatott rosszindulatú PowerShell-szkript változásokhoz vezethet a rendszeralkalmazásokban. A Log360 rögzíti az esetleges gyanús parancsokat, amelyek ezt jelezhetik a jelentéseiben.
PowerShell kódolású karakterszintaxis
6. ábra: A támadások gyakran kódolt PowerShell-kódot használnak a rosszindulatú fájlok letöltését lehetővé tevő folyamatok elindításához. A Log360 követi ezeket a parancsokat ebben a jelentésben.
Rosszindulatú Base64 kódolású PowerShell-kulcsszavak a parancssorokban
8. ábra: A Base64 kódolású PowerShell-szkriptet gyakran használják rosszindulatú parancsok végrehajtására olyan rendszerekben, amelyek ASCII formátumú adatok továbbítására szolgálnak. Minden végrehajtható fájlt, amely ezt jelzi, a Log360 naplózza.
Az Empire PowerShell indítási paraméterei
Ha többet szeretne megtudni arról, hogy a Log360 jelentések hogyan segíthetnek a PowerShell-alapú támadások észlelésében és megelőzésében, töltse le ingyenes 45 napos próbaverziónkat, és iratkozzon fel termékszakértőinkkel egy személyre szabott bemutatóra. Tapasztalja meg még ma a jobb kiberbiztonságot a Log360, egy egységes SIEM-megoldás segítségével.
Forrás: ManageEngine
2022 december 13
Szerző: Orosz-Rizák Gergely
Kategória: Cikk Hírek