Наряду с вымогателями, криптовалютный майнинг является одной из наиболее распространенных угроз для корпоративных систем. Как и в случае с вымогателями, изощренность криптоминеров росла на протяжении многих лет, включая векторы атак и методы, такие как выполнение без файлов, компиляция во время выполнения и внедрение отражающего кода, которые когда-то были связаны с продвинутыми постоянными угрозами (APT).
Исследователи из охранной фирмы Deep Instinct недавно обнаружили криптоминерную инфекцию в системах крупной азиатской компании в авиационной отрасли. В атаке, в которой был внедрен новый майнер криптовалюты Monero, использовались PowerShell, рефлексивная PE-инъекция, компиляция кода во время выполнения и анонимность Tor. Запланированное задание запускается при настройке системы и запускает вторую закодированную команду PowerShell. Эта вторичная полезная нагрузка использовала модуль Invoke-ReflectivePEInjection из PowerSploit и PowerShell Empire, двух сред эксплуатации на основе PowerShell, для извлечения кода, хранящегося в реестре, и внедрения его в собственный рабочий процесс.
«Во время выполнения временная компиляция не нова, она становится все более и более распространенной с ростом популярности атак без файлов и может принести злоумышленнику определенные преимущества, такие как предотвращение некоторых механизмов защиты PowerShell », — сказали исследователи Deep Instinct новый отчет.
В частности, это вредоносное ПО предназначено для исправления процесса PowerShell с целью отключения интерфейса сканирования вредоносных программ (AMSI), функции Windows 10, которая блокирует выполнение известных вредоносных программ внутри различных компонентов и приложений, в том числе внутри PowerShell. , Хранение вредоносного кода в реестре вместо файла на диске и последующее внедрение его непосредственно в память легитимных процессов — это метод, который впервые был использован при атаках APT, чтобы избежать обнаружения антивирусом. Такая тактика выполнения без файлов в настоящее время распространена для различных вредоносных программ, включая вымогателей.
В этом случае код, хранящийся в системном реестре, состоял из двух файлов .DLL — один для 32-разрядных систем и один для 64-битных — реализована программа майнинга Monero. После загрузки криптоминер инициирует связь с рядом узлов Tor, которые, вероятно, служат анонимными прокси-серверами, чтобы скрыть реальное местоположение их пулов майнинга.
«В течение последних двух лет вредоносное криптование было включено постоянный рост, с постоянно растущим уровнем сложности, с использованием передовых безфайловых методов для атаки на цели в корпоративных средах », — говорят исследователи Deep Instinct. «Несмотря на то, что анализ и исследование этого вредоносного ПО все еще продолжаются, в свете вышеупомянутых результатов, мы разумно убеждены, что это новый, сложный вариант криптоминера, который довольно сильно отличается от других ранее задокументированных вредоносных программ этого типа».
Защита от атак PowerShell
PowerShell — это мощный и полезный инструмент системного администрирования, но он стал широко используемым вектором атак в последние годы, поэтому предприятиям необходимо ограничить его использование в системах, где в этом нет необходимости или, по крайней мере, добавьте в него возможности ведения журналов и обнаружения.
Microsoft рекомендует использовать PowerShell версии 5, которая имеет самые передовые функции ведения журналов из всех версий PowerShell. К сожалению, даже после установки версии 5 PowerShell версии 2 по-прежнему остается в системе и допускает атаки с понижением версии, поэтому системные администраторы должны обязательно удалить эту более старую версию из своих систем.
PowerShell также можно настроить в то, что называется режим ограниченного языка, если пользователям системы не нужна его полная мощность. Для администрирования удаленных серверов можно использовать режим ограниченной оболочки, известный как Just Enough Administration (JEA).
Другие эффективные меры по снижению риска включают настройку PowerShell, позволяющую выполнять только сценарии с цифровой подписью и использование AppLocker для Windows 10. возможность проверки сценариев до их запуска.
Наконец, если PowerShell не нужен в системе, его можно полностью удалить. Это обеспечит лучшую защиту, но редко будет практичным, потому что инструмент часто необходим для автоматизации задач системного администрирования.
Эта статья «Криптоминеры и безфайловые методы PowerShell создают опасную комбинацию» была первоначально опубликована
CSO .