Ameaças sem arquivos estão aumentando. Essas ameaças ocorrem quando os cibercriminosos usam software pré-existente nos sistemas das vítimas para realizar ataques, em vez de usar um anexo ou arquivo malicioso. Na maioria das vezes, a ferramenta favorita de um criminoso para um ataque sem arquivo é o PowerShell.
O PowerShell é o favorito dos hackers
O PowerShell é uma interface de linha de comando (CLI) pré-existente usada por administradores de sistema para automatizar tarefas de rotina e gerenciar a configuração do sistema. É usado principalmente para ataques pós-exploração baseados em execução de script.
Os hackers usam o PowerShell porque ele é,
-
Fácil de obter acesso privilegiado: Obter acesso a uma ferramenta como o PowerShell significa obter acesso a todos os sistemas da rede, pois os administradores o usam para monitorar e executar comandos em todos eles, incluindo o Active Directory.
-
Uma ferramenta na lista de permissões: o PowerShell exibe uma assinatura digital confiável como uma ferramenta na lista de permissões. Isso significa que é fácil superar firewalls ou outros softwares antimalware.
-
Fácil de executar: existem vários scripts gratuitos do PowerShell que os hackers podem acessar facilmente on-line gratuitamente para executar um ataque. O PowerShell também é um software de código aberto (desde 2016), o que significa que pode ser usado para executar todas as partes de uma cadeia de eliminação de ataque.
-
Compatível com diferentes sistemas operacionais: o PowerShell é suportado pelos sistemas Linux e macOS junto com o Windows.
Estruturas utilizadas para executar ataques do PowerShell
Com o tempo, os pen testers identificaram estruturas e ferramentas usadas por criminosos para executar ataques do PowerShell. Alguns deles incluem:
-
Empire
-
Nishang
-
Cobalt Strike
-
PowerSpolit
Daremos uma olhada mais profunda no Empire para entender como os criminosos podem usar uma estrutura para executar um ataque. Empire pode ser executado usando três componentes principais:
➤ um ouvinte, que é um sistema que escuta uma conexão RDP
➤ um stager, que é um pedaço de código que pode ser usado para executar scripts maliciosos no sistema da vítima, usando um agente;
➤ um agente, que é um programa que mantém a conexão entre o sistema da vítima e o ouvinte.
O ataque é realizado usando as seguintes etapas:
1. O invasor baixa a ferramenta de pós-exploração do Empire em seu sistema.
2. Eles configuram um ouvinte usando a ferramenta.
3. Um lançador é criado. Um iniciador de shell ajuda a substituir o script existente do Windows 10 por um script de shell personalizado. Este arquivo é renomeado para enganar a vítima.
4. A vítima baixa o arquivo malicioso de, digamos, um site de phishing. Eles baixam pensando que é um arquivo jpeg, mas na verdade é o iniciador que conecta o sistema da vítima ao ouvinte.
5. Uma vez estabelecida a conexão, o invasor procura agentes que possam ser usados para executar scripts maliciosos.
6. Se o agente encontrado não tiver privilégios mais altos, o invasor passa a escalá-los.
7. Uma vez obtidos privilégios elevados, o invasor pode usá-los para executar vários ataques. Eles podem obter credenciais de senha usando outras ferramentas de pós-exploração como Mimikatz, por exemplo.
Ataques semelhantes podem ser executados usando outras ferramentas e estruturas de teste de penetração listadas acima. O Cobalt Strike é uma ferramenta legítima de teste de penetração cuja versão crackeada tem sido usada frequentemente para executar ataques.
Práticas recomendadas de segurança cibernética para detectar ataques do PowerShell
Aqui estão algumas práticas recomendadas de segurança que você pode implementar em sua organização para detectar e conter ataques do PowerShell:
Assinatura de código: Isso significa adicionar um certificado digital a um executável ou script para rastrear e evitar qualquer adulteração.
Just Enough Administration (JEA): No PowerShell, JEA ajuda a limitar o tipo de controle administrativo que cada usuário tem, incluindo usuários privilegiados.
Modo de linguagem restrita: habilitar esse modo no PowerShell ajuda a evitar certos scripts que podem aumentar a vulnerabilidade dos sistemas a ataques.
Habilite o log de transcrição, módulo e bloco de script: habilitar o log ajudará a rastrear cada sessão do PowerShell, monitorar execuções de script e código e registrar todas as informações para auxiliar na análise, incluindo carimbos de data/hora e metadados para cada comando.
Investir em uma solução SIEM
Habilitar o log não é suficiente. O monitoramento contínuo de logs é necessário para identificar scripts maliciosos e detectar possíveis ataques do PowerShell. Investir em uma solução SIEM e enviar a ela os logs de transcrição, módulo e bloco de script pode ajudá-lo a rastrear comandos e execuções específicas que podem indicar esses ataques.
Para saber mais sobre como os relatórios Log360 podem ajudá-lo a detectar e prevenir ataques baseados em PowerShell, baixe nosso teste gratuito de 30 dias e inscreva-se para uma demonstração personalizada com nossos especialistas em produtos. Experimente uma melhor segurança cibernética hoje com o Log360, uma solução SIEM unificada.
