PowerDrop 恶意软件使用 PowerShell

已观察到一个先前身份不明的威胁行为者将其重点转向美国航空航天业，使用一种新开发的恶意软件，称为 PowerDrop，该恶意软件通过 PowerShell 运行。

据做出这一发现的网络安全公司 Adlumin 称，PowerDrop 利用复杂的方法来避免检测，包括欺骗、编码和加密等策略。该恶意软件于 2023 年 5 月在一家未公开的国内航空航天防御承包商的系统中被发现。

PowerDrop 操作模式

名称“PowerDrop”源自脚本工具 Windows PowerShell 的“Power”和代码中用作填充的 DROP (DRP) 字符串的“Drop”的合并。

PowerDrop 用作后期开发工具，可以在最初通过其他方式获得未经授权的访问后从目标网络收集信息。

为了与命令和控制 (C2) 服务器建立通信，该恶意软件使用互联网控制消息协议 (ICMP) 回显请求消息作为信标。作为响应，服务器发送一个加密命令，然后在受感染的主机上解码并执行该命令。此外，还利用类似的 ICMP ping 消息将指令结果传回给攻击者。

此外，PowerShell 命令的执行是使用 Windows Management Instrumentation (WMI) 服务进行的，这表明对手有意利用合法的系统功能以避免检测，这种策略通常被称为“离地生存”策略。

威胁行为者如何渗透公司系统？

威胁行为者可以采用各种策略来渗透公司系统，其中一些包括：

网络钓鱼攻击：这涉及向通常伪装成合法实体或个人的员工发送欺骗性电子邮件或消息，试图诱使他们泄露敏感信息或点击允许未经授权访问的恶意链接。

恶意软件：威胁行为者可以使用不同类型的恶意软件（例如病毒、木马或勒索软件）来利用系统中的漏洞或欺骗用户安装恶意软件。这可能通过受感染的附件、受损网站或恶意下载发生。

社会工程学：这种技术依赖于通过心理策略来操纵个人以获得未经授权的访问。它可能涉及冒充受信任的人员、利用个人关系或利用公开可用的信息来获得目标的信任并提取敏感信息。

内部威胁：有时，组织内的个人有意或无意地构成安全风险。心怀不满的员工、受经济利益驱使的员工或凭据受损的个人可能会滥用其访问权限来渗透系统或泄露敏感信息。

利用薄弱或配置错误的系统：威胁行为者主动扫描网络以寻找漏洞，例如未打补丁的软件、配置错误的服务器或弱密码。通过识别和利用这些弱点，他们可以获得对公司系统的未授权访问。

为了抵御这些渗透方法，组织应实施全面的网络安全策略，包括员工培训、定期软件更新和补丁、强大的访问控制、网络监控、加密和事件响应计划。