A PowerDrop kártevő PowerShellt használ
Egy korábban azonosítatlan fenyegetést figyeltek meg, aki az amerikai repülőgépipar felé irányítja a figyelmet, egy PowerDrop néven ismert, újonnan kifejlesztett rosszindulatú programot alkalmazva, amely a PowerShell-en keresztül működik.
Az Adlumin, a felfedezést végző kiberbiztonsági cég szerint a PowerDrop kifinomult módszereket alkalmaz az észlelés elkerülésére, beleértve az olyan taktikákat, mint a megtévesztés, a kódolás és a titkosítás. Ezt a rosszindulatú szoftvert 2023 májusában fedezték fel egy meg nem nevezett hazai repülőgép-védelmi vállalkozó rendszereiben.
PowerDrop üzemmód
A "PowerDrop" név a Windows PowerShell szkriptkészítő eszköz "Power" és a kódban található DROP (DRP) karakterláncból származó "Drop" összevonásából származik, amely kitöltésként szolgál.
A PowerDrop utólagos kiaknázási eszközként szolgál, lehetővé téve az információk begyűjtését a célzott hálózatokból, miután kezdetben alternatív eszközökkel jogosulatlan hozzáféréshez jutottak.
A parancs- és vezérlési (C2) szerverrel való kommunikáció kialakításához a kártevő Internet Control Message Protocol (ICMP) visszhangkérési üzeneteket használ jeladóként. Válaszul a szerver titkosított parancsot küld, amelyet dekódol, és végrehajt a feltört gazdagépen. Ezenkívül egy hasonló ICMP ping üzenetet használnak az utasítás eredményeinek visszaküldésére a támadónak.
Ezenkívül a PowerShell parancs végrehajtása a Windows Management Instrumentation (WMI) szolgáltatás használatával történik, jelezve az ellenfél törvényes rendszerfunkcióinak kiaknázására irányuló szándékát az észlelés elkerülése érdekében, ezt a stratégiát általában "a földön kívüli életnek" nevezik. taktikát.
Hogyan hatolhatnak be a fenyegető szereplők a vállalati rendszerekbe?
A fenyegetés szereplői különféle taktikákat alkalmazhatnak a vállalati rendszerekbe való behatolásra, amelyek közül néhány a következőket tartalmazza:
Adathalász támadások: Ez azt jelenti, hogy megtévesztő e-maileket vagy üzeneteket küldenek az alkalmazottaknak, gyakran törvényes jogi személyeknek vagy személyeknek álcázva, azzal a céllal, hogy rávegyék őket arra, hogy bizalmas információkat fedjenek fel, vagy olyan rosszindulatú hivatkozásokra kattintsanak, amelyek jogosulatlan hozzáférést biztosítanak.
Rosszindulatú programok: A fenyegető szereplők különböző típusú rosszindulatú programokat, például vírusokat, trójaiakat vagy zsarolóprogramokat használhatnak a rendszerek sebezhetőségeinek kihasználására, vagy a felhasználók rosszindulatú szoftverek telepítésére való megtévesztésére. Ez történhet fertőzött mellékleteken, feltört webhelyeken vagy rosszindulatú letöltéseken keresztül.
Social Engineering: Ez a technika az egyének pszichológiai taktikával történő manipulálásán alapul, hogy illetéktelen hozzáférést szerezzenek. Ez magában foglalhatja a megbízható személyzet megszemélyesítését, a személyes kapcsolatok kihasználását vagy a nyilvánosan elérhető információk felhasználását a célpont bizalmának elnyerésére és érzékeny információk kinyerésére.
Bennfentes fenyegetések: Néha a szervezeten belüli egyének szándékosan vagy véletlenül biztonsági kockázatot jelentenek. Az elégedetlen alkalmazottak, az anyagi haszonszerzés motiváltak vagy a feltört hitelesítő adatokkal rendelkező személyek visszaélhetnek hozzáférési jogosultságaikkal, hogy beszivárogjanak a rendszerekbe vagy érzékeny információkat szivárogtassanak ki.
Gyenge vagy rosszul konfigurált rendszerek kihasználása: A fenyegetés szereplői aktívan keresik a hálózatokat, hogy keressenek sebezhetőségeket, például javítatlan szoftvereket, rosszul konfigurált szervereket vagy gyenge jelszavakat. Ezen gyengeségek azonosításával és kihasználásával jogosulatlan hozzáférést kaphatnak a vállalati rendszerekhez.
Az ilyen beszivárgási módszerek elleni védekezés érdekében a szervezeteknek átfogó kiberbiztonsági stratégiát kell alkalmazniuk, amely magában foglalja az alkalmazottak képzését, rendszeres szoftverfrissítéseket és javításokat, erős hozzáférés-szabályozást, hálózatfelügyeletet, titkosítást és incidensreagálási terveket.