Hackers utilizando ferramentas nativas do Windows conseguiram infectar pelo menos uma empresa parceira de defesa dos EUA com um novo backdoor, que poderia ter aberto o caminho para a implantação de mais malwares ou algo pior.
Em um relatório publicado em 6 de junho, pesquisadores da Adlumin apelidaram o backdoor de "PowerDrop", depois de uma string "DRP" usada no código, e porque é baseado no Powershell - a linguagem dupla de shell de comando e script.
"Por ser através do Windows PowerShell, o PowerDrop tem essencialmente acesso total ao computador", explica Kevin O'Connor, diretor de pesquisa de ameaças na Adlumin. "Ele é executado com privilégios administrativos, e os invasores podem emitir qualquer comando remoto que desejarem."
Como o PowerDrop LotLs No geral, o PowerDrop "está na linha entre o que você vê de ameaças persistentes avançadas (APTs) e as coisas mais básicas de script kiddie", avalia O'Connor. "Ele tem algumas precauções de segurança únicas para se proteger, mas de certa forma estraga essas coisas."
Por exemplo, para evitar fazer muito barulho, o PowerDrop divide quaisquer mensagens grandes enviadas de e para a máquina alvo em várias mensagens menores. Ele também criptografa suas cargas úteis. Para fazer isso, no entanto, "ele usa uma chave estática que nunca muda, para criptografar tudo. E então é realmente detectável", diz O'Connor.
Qualquer deficiência é compensada, no entanto, pelo uso astuto dos hackers de programas padrão do Windows em uma estratégia "viver da terra" (LotL).
Para estabelecer persistência, o ataque emprega o Instrumentação de Gerenciamento do Windows (WMI) - uma interface projetada para ajudar os administradores de sistemas a gerenciar vários aspectos de seus ambientes operacionais - para se registrar como um serviço legítimo.
Como resultado, diz O'Connor, "parece qualquer outra coisa que seria registrada no sistema, e não deixa arquivos maliciosos no disco."
Mais importante, o PowerDrop não é nada mais do que um script do PowerShell.
PowerShell é popular entre os hackers por duas razões principais. Primeiro, porque é tão usado para tarefas de TI perfeitamente legítimas, permite que o comportamento malicioso passe mais facilmente despercebido.
Além disso, o PowerShell oferece poderes significativos sobre um computador Windows, seja o usuário que o maneja um gerente de TI ou um hacker. O PowerDrop poderia ter permitido que seus proprietários operassem no nível de admin na rede do contratado de defesa, roubando dados ou executando comandos quase sem restrições.
Ator Estatal provavelmente por trás do PowerDrop Até agora, o PowerDrop foi confirmado apenas por ter comprometido uma empresa aeroespacial doméstica, e poucos detalhes estão disponíveis sobre o ataque real.
Mas, O'Connor qualifica, "na verdade tivemos relatos de outros usuários que encontraram isso - parece que pode haver um software comum com o qual isso está associado - só não conseguimos ainda vincular isso."
Considerando a natureza da vítima e do malware, os pesquisadores suspeitam que os perpetradores do PowerDrop podem estar associados a um estado-nação. A gravidade disso só é agravada pelo pano de fundo da guerra na Ucrânia e as tensões políticas em Taiwan.
Combatendo Ataques LotL Para se proteger contra o PowerDrop e malwares LotL similares, os analistas podem tentar abordagens como exercícios de equipe vermelha ou análise comportamental conduzida por IA que prioriza a natureza das ações de um programa em vez de simplesmente do que ele é feito.
Por sua vez, O'Connor sugere alguns passos mais diretos que organizações aeroespaciais e alvos de alto valor similares podem tomar, como a criação de uma lista branca: permitindo apenas que aplicativos e processos confiáveis sejam executados em um sistema.
Além disso, ele diz, as organizações podem "certificar-se de que eles têm o registro de bloqueio de script habilitado, o que realmente mostra os comandos PowerShell decodificados que estão sendo executados", além dos argumentos de linha de comando que os envolvem.
Os administradores também podem considerar a auditoria de eventos WMI. WMI, O'Connor aponta, "é realmente comumente usado por malwares como uma maneira de persistir atualmente. Muitas pessoas não estão olhando para esses trabalhos. Mas se você entrar, pode ver como esse malware se registra como 'SYSTEMPOWERMANAGER', e ... não é gerenciamento de energia do sistema." Essas e outras precauções, juntas, podem ser suficientes para afastar um backdoor tão inteligente, mas imperfeito quanto o PowerDrop.
"É realmente legal", diz O'Connor, refletindo sobre sua descoberta. "Eu trabalhei na NSA por anos e adoro esse tipo de coisa."
Fonte: darkreading.com
Comments