PowerDrop 惡意軟件使用 PowerShell
已觀察到一個先前身份不明的威脅行為者將其重點轉向美國航空航天業,使用一種新開發的惡意軟件,稱為 PowerDrop,該惡意軟件通過 PowerShell 運行。
據做出這一發現的網絡安全公司 Adlumin 稱,PowerDrop 利用複雜的方法來避免檢測,包括欺騙、編碼和加密等策略。該惡意軟件於 2023 年 5 月在一家未公開的國內航空航天防禦承包商的系統中被發現。
PowerDrop 操作模式
名稱“PowerDrop”源自腳本工具 Windows PowerShell 的“Power”和代碼中用作填充的 DROP (DRP) 字符串的“Drop”的合併。
PowerDrop 用作後期開發工具,可以在最初通過其他方式獲得未經授權的訪問後從目標網絡收集信息。
為了與命令和控制 (C2) 服務器建立通信,該惡意軟件使用互聯網控制消息協議 (ICMP) 回顯請求消息作為信標。作為響應,服務器發送一個加密命令,然後在受感染的主機上解碼並執行該命令。此外,還利用類似的 ICMP ping 消息將指令結果傳回給攻擊者。
此外,PowerShell 命令的執行是使用 Windows Management Instrumentation (WMI) 服務進行的,這表明對手有意利用合法的系統功能以避免檢測,這種策略通常被稱為“離地生存”策略。
威脅行為者如何滲透公司係統?
威脅行為者可以採用各種策略來滲透公司係統,其中一些包括:
網絡釣魚攻擊:這涉及向通常偽裝成合法實體或個人的員工發送欺騙性電子郵件或消息,試圖誘使他們洩露敏感信息或點擊允許未經授權訪問的惡意鏈接。
惡意軟件:威脅行為者可以使用不同類型的惡意軟件(例如病毒、木馬或勒索軟件)來利用系統中的漏洞或欺騙用戶安裝惡意軟件。這可能通過受感染的附件、受損網站或惡意下載發生。
社會工程學:這種技術依賴於通過心理策略來操縱個人以獲得未經授權的訪問。它可能涉及冒充受信任的人員、利用個人關係或利用公開可用的信息來獲得目標的信任並提取敏感信息。
內部威脅:有時,組織內的個人有意或無意地構成安全風險。心懷不滿的員工、受經濟利益驅使的員工或憑據受損的個人可能會濫用其訪問權限來滲透系統或洩露敏感信息。
利用薄弱或配置錯誤的系統:威脅行為者主動掃描網絡以尋找漏洞,例如未打補丁的軟件、配置錯誤的服務器或弱密碼。通過識別和利用這些弱點,他們可以獲得對公司係統的未授權訪問。
為了抵禦這些滲透方法,組織應實施全面的網絡安全策略,包括員工培訓、定期軟件更新和補丁、強大的訪問控制、網絡監控、加密和事件響應計劃。