Vadásszunk kártékony powershell kódra a registry-ben

Share this:

A hagyományos, rosszindulatú alkalmazások könnyen észlelhető nyomokat hagynak maguk után, azonban az elmúlt időszakban egyre több rejtőzködő kártevővel találkozni amik a Windows regisztrációs adatbázisát igénybe véve a memóriában tárolódnak el, így nagyon nehéz őket megtalálni. A lemezen semmi nyomot nem hagynak, így a hagyományos vírusirtók esélytelenek, a támadó azonosítása pedig szinte lehetetlen. A kártevők szolgáltatásokat, registry bejegyzéseket hozhatnak létre és PowerShell szkripteket futtathatnak.

  • Emailben, fájlként vagy linkként terjed, miután rákattintottunk, magát a registrybe írja és eltűnik.
  • A már fertőzött gépet registry cleanerrel lehet „javítani”.

Mi a registry?

Regisztrációs adatbázis. Itt tárolódnak:

  • a felhasználói profilok
  • a telepített programok listája
  • az, hogy az adott kiterjesztésű fájlt mi nyissa meg
  • a számítógépen található hardvereszközök
  • a rendszerfájlok változását érintő dolgok

 

Miért szeretnek a támadók PowerShellt használni?

A Windows megbízik benne így a víruskeresők nem fogják ellenőrizni a kártékony kódokat. Teljes hozzáférése van a WMI-hez (lehetővé teszi a windows felügyeletét hálózaton keresztül, így a támadó a tűzfalon keresztül is tudja irányítani a gépet) valamint a .NET keretrendszerhez. Képes a memóriában kódot futtatni, ezzel kijátszva a hagyományos vírusírtókat. Ezzel a technikával átvehetik a teljes irányítást a gép felet, de szimpla adatlopáshoz is tökéletes. Egyszerűen szólva, ezek a támadások működnek és a támadók hajlamosak a kisebb ellenállás felé menni.

 

Miért használják a rosszindulatú szereplők ezen eszközöket?

  • Logolási hiányosságok vannak → általában a megfelelően beállított logolás nem élvez prioritást
  • Letiltani nemigen lehet mert minden microsoft termék használja
  • Becslések szerint a fileless támadások 10 szer nagyobb valószínűséggel járnak sikerrel mint a hagyományos malware támadások
  • Hagyományos vírusirtók általában nem észlelik ezen támadások (újgenerációs tűzfal, illetve CTI feed megoldást jelenthet)
  • EDR rendszerek, mint például a Carbon Black, képesek alkalmazás-fehérlistázással védeni ellenük, ellenben ezek használata még nem elterjedt
  • Gyakran használt szolgáltatások sebezhetőségeit használják ki (webböngésző, office-alkalmazások)
  • Kaspersky szerint az észlelés csak a ramban, hálózaton valamint a registryben lehetséges
  • Kriptovaluta-bányászat esetén a támadásba fektetett összeg gyorsan megtérülhet

 

Hogyan lehet ezeket megtalálni?

Első körben érdemes a „7045”-ös számú Windows eventet monitorozni, mivel ezen támadások nagyrészt szolgáltatásnak álcázzák magukat. Ha sikerült ilyen eseményeket találni, akkor érdemes a szolgáltatás települési idejének környékén átnézni a registryt, illetve a települt szolgáltatás hash értékére rákeresni Virustotalon.

A registry hive-ok manuális és automata ellenőrzéséhez használható a RegRipper, illetve Registry Explorer és egyéb, fizetős eszközök is.

Ezekkel a következőket érdemes megnézni:

  • Véletlenszerű szolgáltatásnevek
  • Olyan szolgáltatást, ami nevében szerepel a „%COMSPEC%” (Ő hívja meg a cmd.exe-t egy rejtett ablakban való Powershell futtatáshoz)
  • Hivatkozás futtatható Powershell állományokra
  • Base64-ben kódolt adatok → szokták azt csinálni, hogy base64 be van kódolva, azt betömörítik aztán megint base64 be kódolják, így hamar matryoshka-baba lesz belőle. Nehéz megállapítani, hogy adott kód pontosan mit csinál, de egy kis gyakorlattal vissza lehet fejteni őket, hogy megtudjuk hová akar csatlakozni, vagy mit akar futtatni

Példa egy ilyen, „drive-by-download” támadásra:

  1. Felhasználó a böngészőjével meglátogat egy weboldalt, egy e-mailben kaphott link segítségével
  2. A flash betölt az oldalon
  3. A flash meghívja a Poweshellt és parancsokat futtat parancssorból
  4. A Powershell csatlakozik a C2 szerverre, ahonnan scripteket tölt le, ami adatot szivárogtat a támadótól
  5. Adobe frissítésnek álcázva letöltődik egy script
  6. A böngésző javítócsomagjának álcázva magát letöltenek a gépre egy Javascript kódot.

 

“Cobalt Kitty”, egy akció ami nagyvállatokat kémkedett ki

Ázsiai vállalatot támadott meg azzal a céllal, hogy üzleti információkat lopjon. Először a vezérigazgatók, privilegizált hozzáférésű emberek munkaállomásaitól elindulva támadták a kevesebb jogosultsággal rendelkező vezetőket. Összesen 40 gépbe jutottak be, beleértve az adatbázisokat, domén szervereket és webszervereket. Kiderült, közel egy évig férhettek hozzá a gépekhez, amit a hagyományos biztonsági szoftverek nem érzékeltek. Az eszközarzenál számos, az interneten elérhető és pár saját eszközből állt, többek között egy, „remote code execution”-képes Outlook modulból.

Megcélzott egyénekhez fertőzött linkeket illetve Word dokumentumokat küldtek emailben. Linkek esetében a megnyitás pillanatában Javascript kód letöltötte a programot ami utat nyitott a támadóknak. Ezután a fertőzésért felelős csoport képes volt átvenni a az irányítást a munkaállomások fölött és ezzel adatokat szivárogtatni.

Other Posts