Te ataki są niemal niewykrywalne!

07-06-2019, 18:50

Eksperci ostrzegają przed nowymi narzędziami w asortymencie grupy Turla. Dzięki wykorzystaniu spreparowanego wcześniej zestawu poleceń PowerShell, atakujący są w stanie wstrzyknąć złośliwe oprogramowanie bezpośrednio do pamięci operacyjnej, zwiększając skuteczność swoich działań i utrudniając jednocześnie wykrycie ataku.

Eksperci ds. cyberbezpieczeństwa już wielokrotnie ostrzegali przed zagrożeniem ze strony grupy Turla, specjalizującej się w atakach przeciwko placówkom dyplomatycznym i organizacjom politycznym. Dotychczas w arsenale włamywaczy znajdowały się przede wszystkim rozbudowane autorskie narzędzia, takie jak malware LightNeuron, który pozwalał przechwytywać i modyfikować dowolną wiadomość przechodzącą przez serwer pocztowy. Teraz okazuje się, że przestępcy z tej grupy poszerzyli „asortyment” o złośliwe skrypty PowerShell. Wykorzystują one wbudowany interpreter poleceń systemu Windows, aby wstrzyknąć złośliwy kod prosto do pamięci operacyjnej komputera. Metoda ta została wykorzystana przeciwko kilku placówkom dyplomatycznym w Europie Wschodniej, ale niewykluczone, że lista celów jest znacznie dłuższa. 

Wykrycie ataków staje się coraz trudniejsze 

Nowe narzędzia grupy Turla wykorzystują skrypty PowerShell, aby wstrzyknąć złośliwy kod bezpośrednio do pamięci operacyjnej systemu ofiary. Metoda ta pozwala włamywaczom ominąć te programy antywirusowe, które skanują wyłącznie dysk twardy pod kątem zagrożeń. Znacząco zwiększa to szanse powodzenia ataku, ponieważ wykrycie takiego szkodliwego działania nastąpi dopiero na etapie skanowania pamięci operacyjnej, czyli w momencie, kiedy skrypt jest już aktywny i ma możliwość wyrządzenia szkód. To, co wyróżnia technikę stosowaną przez grupę Turla od innych złośliwych programów tego typu (tzw. droppery), to możliwość skutecznego utrzymywania się w systemie poprzez regularne wstrzykiwanie zainfekowanego kodu.

Wśród opisywanych narzędzi na uwagę zasługują przede wszystkim dwa z nich. Pierwszym jest cały zestaw koni trojańskich wykorzystujących odpowiedzialny za komunikację stacji roboczych z serwerem protokół RPC. Pozwala on skutecznie przejmować kontrolę nad innymi urządzeniami bez konieczności komunikowania się z zewnętrznym serwerem sterującym. Drugi to backdoor PowerStallion, który wykorzystuje usługę OneDrive jako prowizoryczny serwer sterujący.

Co na to ekspert?

Kamil Sadkowski, starszy analityk zagrożeń w ESET, przekazuje, że podejrzewa się, iż PowerStallion został opracowany z myślą o sytuacjach awaryjnych i miał być wykorzystywany, aby dostać się do komputerów ofiar dopiero wtedy, gdy główne backdoory stosowane przez grupę zostałyby wykryte i zablokowane. Ekspert dodaje, że nowe odkrycia dotyczące złośliwych skryptów dowodzą jednego – arsenał stosowany przez grupę Turla stale ewoluuje, a cyberprzestępcy w swoich atakach są gotowi korzystać ze wszystkich dostępnych narzędzi. Jest to istotna lekcja dla ekspertów zajmujących się bezpieczeństwem IT oraz dla administratorów, którzy chcą pozostawać o krok przed włamywaczami.

Źródło: ESET


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Październik 2019»
PoWtŚrCzwPtSbNd
 123456
78910111213
14151617181920
21222324252627
28293031