Παρασκευή, 22 Ιανουαρίου, 09:07
Αρχική security Ερευνητές ασφαλείας αναλύουν PowerShell scripts που χρησιμοποιούνται από Ρώσους hacker

Ερευνητές ασφαλείας αναλύουν PowerShell scripts που χρησιμοποιούνται από Ρώσους hacker

PowerShell

Οι ερευνητές ασφαλείας της ESET, διεξάγουν έρευνες πάνω σε PowerShell scripts που χρησιμοποιήθηκαν σε πρόσφατες επιθέσεις από μία Ρώσικη ομάδα hacking, με την ονομασία Turla.

Κύριοι στόχοι της ομάδας είναι διάφορες διπλωματικές οργανώσεις, όπως ο στρατός των ΗΠΑ και της Γαλλίας και το γερμανικό Υπουργείο Εξωτερικών, αλλά και οντότητες στη Μέση Ανατολή.

Η ομάδα, που έχει γίνει γνωστή και με άλλες ονομασίες όπως Snake, Waterbug, KRYPTON και Venomous Bear, ξεκίνησε πρόσφατα τη χρήση PowerShell scripts για τη φόρτωση και την εκτέλεση malware, σε μια προσπάθεια να παρακάμψει την ανίχνευση. Σύμφωνα με τους ερευνητές της Eset, ενώ παλιότερα η ομάδα χρησιμοποιούσε έναν loader βασισμένο στο Posh-SecMod, έχει πλέον τελειοποιήσει τα PowerShell script της.

Ο PowerShell loader της ομάδας σχεδιάστηκε ώστε να επιτυγχάνει persistence, να αποκρυπτογραφεί τον κώδικα και να φορτώνει στη μνήμη το ενσωματωμένο εκτελέσιμο αρχείο ή βιβλιοθήκη. Για το σκοπό αυτό, η Turla χρησιμοποιεί Windows Management Instrumentation (WMI) ή μεταβολή του PowerShell profile.

Η πρώτη μέθοδος βασίζεται στη δημιουργία δύο WMI event filters και δύο WMI event consumers για την εκκίνηση εντολών PowerShell και τη φόρτωση ενός script που είναι αποθηκευμένο στο μητρώο των Windows. Η δεύτερη μέθοδος περιλαμβάνει την αλλαγή του PowerShell profile, το οποίο είναι ένα script που εκτελείται όταν εκκινείται το PowerShell και έχει ως αποτέλεσμα την εκτέλεση μιας εντολής PowerShell παρόμοιας με αυτή που χρησιμοποιείται στα WMI consumers.

Οι ερευνητές ανακάλυψαν επίσης ορισμένα δείγματα από το Μάρτιο του 2019, τα οποία έχουν τροποποιήσεις για την παράκαμψη του Antimalware Scan Interface (AMSI), ένα interface που επιτρέπει στις εφαρμογές Windows να ενοποιηθούν με το εγκατεστημένο antimalware.

Η εταιρεία ESET αποκάλυψε ότι οι hackers χρησιμοποίησαν PowerShell scripts για να φορτώσουν payloads, συμπεριλαμβανομένων ενός RPC backdoor και ενός PowerShell backdoor.

Η ομάδα Turla φημίζεται για τη χρήση backdoors, που βασίζονται στο πρωτόκολλο RPC. Τα backdoors επιτρέπουν στην ομάδα να αποκτήσει τον έλεγχο άλλων μηχανημάτων στο τοπικό δίκτυο ακόμα και όταν δεν υπάρχει ένας εξωτερικός C & C server.

Με τη χρήση του RPC backdoor, οι hackers μπορούν να φορτώνουν και να κατεβάζουν αρχεία και να εκτελούν εντολές μέσω cmd.exe ή PowerShell. Το backdoor χωρίζεται σε δύο μέρη και διαθέτει έναν client, που δίνει τη δυνατότητα στους hackers να εκτελέσουν εντολές σε συστήματα, όπου είναι εγκατεστημένος ένας server.

Ένα από τα PowerShell backdoors, που έχει αναπτύξει η ομάδα Turla είναι το PowerStallion. Πρόκειται για ένα ελαφρύ εργαλείο, το οποίο χρησιμοποιεί την online υπηρεσία αποθήκευσης της Microsoft, OneDrive, ως C & C server. Επίσης, εκμεταλλεύεται τη δωρεάν υπηρεσία email, GMX.

Σύμφωνα με την ESET, το κακόβουλο λογισμικό χρησιμοποιείται ως εργαλείο ανάκτησης της πρόσβασης. Δηλαδή οι hackers το χρησιμοποιούν, σε περίπτωση που τα κύρια backdoors, όπως το Carbon ή το Gazer αφαιρεθούν και δεν υπάρχει πια δυνατότητα πρόσβασης στους μολυσμένους υπολογιστές.

Μπορεί η ομάδα Turla να χρησιμοποιεί τώρα open-source εργαλεία, αλλά αυτό δεν σημαίνει ότι έχει πάψει να χρησιμοποιεί τα προσαρμοσμένα εργαλεία της. Στην πραγματικότητα, τα payloads, που φορτώνονται από τα PowerShell scripts, καθώς και το RPC backdoor και το PowerStallion, ανήκουν στη δεύτερη κατηγορία εργαλείων.

Η ESET δήλωσε ότι η ομάδα Turla θα συνεχίσει να μας απασχολεί για πολύ καιρό, αφού αναπτύσσει συνεχώς νέα και πολύπλοκα κακόβουλα λογισμικά.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

LIVE NEWS

Mac: Πώς να δείτε ποιο μοντέλο έχετε και πότε κυκλοφόρησε

Όταν χρειάζεστε υποστήριξη για το Mac σας - ή θέλετε να εγκαταστήσετε κάποιο είδος αναβάθμισης - συνήθως πρέπει να γνωρίζετε το ακριβές...
00:02:35

Bill Gates: Θα συνεργαστεί με τον Biden για COVID-19 / κλιματική αλλαγή;

Ο συνιδρυτής της Microsoft, Bill Gates, ανέφερε στο Twitter ότι ανυπομονεί να συνεργαστεί με το νέο Αμερικανό Πρόεδρο, Joe Biden, και την...

Ποιες είναι οι φήμες που κυκλοφορούν για το iPhone 13;

Το iPhone 13 της Apple θα διαθέτει ένα επανασχεδιασμένο σύστημα Face ID που θα διαθέτει μικρότερη εγκοπή στο πάνω μέρος της οθόνης,...

Biden: Πώς αποτυπώθηκε στα social media η πολιτική μετάβαση στις ΗΠΑ;

Καθώς ο Joe Biden ορκίστηκε Πρόεδρος των ΗΠΑ, αυτή η σημαντική πολιτική μετάβαση αποτυπώθηκε και στα δημοφιλή social media. Στις 20 Ιανουαρίου,...

Το CentOS σταματά να υποστηρίζεται αλλά το RHEL προσφέρεται δωρεάν

Τον περασμένο μήνα, η Red Hat προκάλεσε μεγάλη ανησυχία στον κόσμο του Linux όταν ανακοίνωσε τη διακοπή του CentOS Linux.

Διέρρευσαν online Microsoft Office 365 κωδικοί πρόσβασης υπαλλήλων!

Μια νέα καμπάνια phishing μεγάλης κλίμακας που στοχεύει παγκόσμιους οργανισμούς βρέθηκε να παρακάμπτει το Microsoft Office 365 Advanced Threat Protection (ATP) και...

COSMOTE και Microsoft παρέχουν νέες λύσεις cloud για επιχειρήσεις

Η COSMOTE και η Microsoft επεκτείνουν τη συνεργασία τους, προσφέροντας ακόμη πιο εξελιγμένες και υψηλής ποιότητας λύσεις cloud, σε μεγάλες και μικρομεσαίες...

Οι κυβερνοεπιθέσεις στην Ανατολική Ευρώπη αυξάνονται!

Οι κυβερνοεπιθέσεις που πραγματοποιούνται σε πολλές κυβερνητικές υπηρεσίες και εταιρείες των ΗΠΑ τους τελευταίους μήνες έχουν προκαλέσει ανησυχία στις αναπτυσσόμενες χώρες της...

Η Tesla μειώνει τις τιμές του Model 3 στην Ευρώπη

Η Tesla έχει μειώσει τις τιμές του Model 3 σε πολλές ευρωπαϊκές αγορές, οι οποίες μειώσεις θα μπορούσαν εν μέρει να συνδεθούν...

iOS, Android, XBox χρήστες στο στόχαστρο νέας malvertising εκστρατείας

Πρόσφατα ανακαλύφθηκε μια νέα malvertising εκστρατεία που στοχεύει χρήστες κινητών και άλλων συνδεδεμένων συσκευών και χρησιμοποιεί αποτελεσματικές...