Um novo script de malware PowerShell chamado 'PowerDrop' foi descoberto sendo usado em ataques direcionados à indústria de defesa aeroespacial dos Estados Unidos.
O PowerDrop foi descoberto pela Adlumin, que no mês passado encontrou uma amostra do malware na rede de um contratante de defesa nos EUA.
A empresa relata que o PowerDrop usa PowerShell e WMI (Windows Management Instrumentation) para criar um RAT persistente (trojan de acesso remoto) nas redes comprometidas.
As táticas de operação do malware ficam entre o malware "pronto para uso" e as técnicas avançadas de APT, enquanto o momento e os alvos sugerem que o agressor provavelmente é patrocinado pelo estado.
A Adlumin identificou o PowerDrop usando detecção de aprendizado de máquina que examina o conteúdo da execução do script PowerShell; no entanto, a cadeia de infecção ou comprometimento inicial é desconhecida.
Os analistas presumem que os atacantes podem ter implantado o script usando um exploit, e-mails de phishing para alvos ou sites de download de software forjados.
O PowerDrop é um script PowerShell executado pelo serviço Windows Management Instrumentation (WMI) e codificado usando Base64 para funcionar como uma backdoor ou RAT.
Ao olhar para os logs do sistema, os pesquisadores descobriram que o script malicioso foi executado usando filtros de eventos WMI previamente registrados e consumidores chamados 'SystemPowerManager', criados pelo malware após a comprometimento do sistema usando a ferramenta de linha de comando 'wmic.exe'.
O WMI é um recurso do Windows integrado que permite aos usuários consultar computadores locais ou remotos para várias informações.
Neste caso, está sendo abusado para acionar consultas de comando PowerShell para atualizações em uma classe de monitoramento de desempenho.
A classe em particular é frequentemente atualizada com informações relacionadas ao desempenho, como processos, threads, chamadas de sistema/sec e comprimento da fila, então plantar um gatilho de evento malicioso a cada dois minutos é improvável que levante suspeitas.
"O filtro de evento WMI é acionado quando a classe WMI é atualizada, o que então aciona a execução do script PowerShell", explica a Adlumin no relatório.
"O acionamento pelo filtro é limitado a uma vez a cada 120 segundos, desde que a classe WMI tenha sido atualizada."
Uma vez que o script PowerDrop está ativo, ele envia um eco ICMP codificado para o endereço do servidor C2, sinalizando que uma nova infecção está ativa.
O payload do gatilho ICMP é uma string codificada UTF16-LE não obfuscada, o que ajuda a infraestrutura C2 a distinguir de sondas aleatórias.
Depois que o sinal de alerta foi enviado para o servidor C2, o malware aguarda 60 segundos por uma resposta do C2, geralmente um payload criptografado contendo um comando para execução.
O malware descriptografa o payload enviado usando uma chave AES de 128 bits codificada e um vetor de inicialização de 128 bits codificado e executa o comando contido no host.
Em seguida, o PowerDrop envia os resultados da execução do comando de volta para o servidor C2 e, se forem muito grandes, divide-os em pedaços de 128 bytes transmitidos em um fluxo de vários mensagens.
A Adlumin conclui que o PowerShell e o WMI, combinados com o fato de que o PowerDrop nunca toca no disco como um arquivo de script ".ps1", o tornam particularmente furtivo.
Suas comunicações são criptografadas com AES, o protocolo ICMP usado para sinalizar seu alerta é comum nas comunicações de rede e o intervalo de 120 segundos entre o tráfego de rede malicioso reduz a probabilidade de detecção.
As organizações, especialmente aquelas na indústria de defesa aeroespacial, precisam permanecer vigilantes contra essa ameaça, monitorando a execução do PowerShell e procurando atividades WMI incomuns.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...