Οι ερευνητές ασφαλείας της ESET, διεξάγουν έρευνες πάνω σε PowerShell scripts που χρησιμοποιήθηκαν σε πρόσφατες επιθέσεις από μία Ρώσικη ομάδα hacking, με την ονομασία Turla.
Κύριοι στόχοι της ομάδας είναι διάφορες διπλωματικές οργανώσεις, όπως ο στρατός των ΗΠΑ και της Γαλλίας και το γερμανικό Υπουργείο Εξωτερικών, αλλά και οντότητες στη Μέση Ανατολή.
Η ομάδα, που έχει γίνει γνωστή και με άλλες ονομασίες όπως Snake, Waterbug, KRYPTON και Venomous Bear, ξεκίνησε πρόσφατα τη χρήση PowerShell scripts για τη φόρτωση και την εκτέλεση malware, σε μια προσπάθεια να παρακάμψει την ανίχνευση. Σύμφωνα με τους ερευνητές της Eset, ενώ παλιότερα η ομάδα χρησιμοποιούσε έναν loader βασισμένο στο Posh-SecMod, έχει πλέον τελειοποιήσει τα PowerShell script της.
Ο PowerShell loader της ομάδας σχεδιάστηκε ώστε να επιτυγχάνει persistence, να αποκρυπτογραφεί τον κώδικα και να φορτώνει στη μνήμη το ενσωματωμένο εκτελέσιμο αρχείο ή βιβλιοθήκη. Για το σκοπό αυτό, η Turla χρησιμοποιεί Windows Management Instrumentation (WMI) ή μεταβολή του PowerShell profile.
Η πρώτη μέθοδος βασίζεται στη δημιουργία δύο WMI event filters και δύο WMI event consumers για την εκκίνηση εντολών PowerShell και τη φόρτωση ενός script που είναι αποθηκευμένο στο μητρώο των Windows. Η δεύτερη μέθοδος περιλαμβάνει την αλλαγή του PowerShell profile, το οποίο είναι ένα script που εκτελείται όταν εκκινείται το PowerShell και έχει ως αποτέλεσμα την εκτέλεση μιας εντολής PowerShell παρόμοιας με αυτή που χρησιμοποιείται στα WMI consumers.
Οι ερευνητές ανακάλυψαν επίσης ορισμένα δείγματα από το Μάρτιο του 2019, τα οποία έχουν τροποποιήσεις για την παράκαμψη του Antimalware Scan Interface (AMSI), ένα interface που επιτρέπει στις εφαρμογές Windows να ενοποιηθούν με το εγκατεστημένο antimalware.
Η εταιρεία ESET αποκάλυψε ότι οι hackers χρησιμοποίησαν PowerShell scripts για να φορτώσουν payloads, συμπεριλαμβανομένων ενός RPC backdoor και ενός PowerShell backdoor.
Η ομάδα Turla φημίζεται για τη χρήση backdoors, που βασίζονται στο πρωτόκολλο RPC. Τα backdoors επιτρέπουν στην ομάδα να αποκτήσει τον έλεγχο άλλων μηχανημάτων στο τοπικό δίκτυο ακόμα και όταν δεν υπάρχει ένας εξωτερικός C & C server.
Με τη χρήση του RPC backdoor, οι hackers μπορούν να φορτώνουν και να κατεβάζουν αρχεία και να εκτελούν εντολές μέσω cmd.exe ή PowerShell. Το backdoor χωρίζεται σε δύο μέρη και διαθέτει έναν client, που δίνει τη δυνατότητα στους hackers να εκτελέσουν εντολές σε συστήματα, όπου είναι εγκατεστημένος ένας server.
Ένα από τα PowerShell backdoors, που έχει αναπτύξει η ομάδα Turla είναι το PowerStallion. Πρόκειται για ένα ελαφρύ εργαλείο, το οποίο χρησιμοποιεί την online υπηρεσία αποθήκευσης της Microsoft, OneDrive, ως C & C server. Επίσης, εκμεταλλεύεται τη δωρεάν υπηρεσία email, GMX.
Σύμφωνα με την ESET, το κακόβουλο λογισμικό χρησιμοποιείται ως εργαλείο ανάκτησης της πρόσβασης. Δηλαδή οι hackers το χρησιμοποιούν, σε περίπτωση που τα κύρια backdoors, όπως το Carbon ή το Gazer αφαιρεθούν και δεν υπάρχει πια δυνατότητα πρόσβασης στους μολυσμένους υπολογιστές.
Μπορεί η ομάδα Turla να χρησιμοποιεί τώρα open-source εργαλεία, αλλά αυτό δεν σημαίνει ότι έχει πάψει να χρησιμοποιεί τα προσαρμοσμένα εργαλεία της. Στην πραγματικότητα, τα payloads, που φορτώνονται από τα PowerShell scripts, καθώς και το RPC backdoor και το PowerStallion, ανήκουν στη δεύτερη κατηγορία εργαλείων.
Η ESET δήλωσε ότι η ομάδα Turla θα συνεχίσει να μας απασχολεί για πολύ καιρό, αφού αναπτύσσει συνεχώς νέα και πολύπλοκα κακόβουλα λογισμικά.
