Yerel Windows araçlarını kullanan bilgisayar korsanları, en az bir ABD savunma yüklenicisine yeni bir arka kapı bulaştırmayı başardılar; bu, ek kötü amaçlı yazılım yerleştirme veya daha kötüsünün yolunu açabilirdi.
6 Haziran’da yayınlanan bir raporda, Adlumin’den araştırmacılar, kodda kullanılan bir “DRP” dizesinden sonra ve ikili komut kabuğu artı betik dili olan Powershell’e dayandığı için arka kapıya “PowerDrop” adını verdiler.
Adlumin’de tehdit araştırma müdürü Kevin O’Connor, “Windows PowerShell aracılığıyla olduğu için, PowerDrop aslında bilgisayara tam erişime sahip,” diye açıklıyor. “Yönetici ayrıcalıklarıyla çalışır ve saldırganlar istedikleri herhangi bir uzaktan komutu verebilir.”
PowerDrop LotL’leri Nasıl
O’Connor, genel olarak, PowerDrop’un “gelişmiş kalıcı tehditlerden (APT’ler) gördüğünüz şey ile daha basit senaryo çocuk şeyleri arasındaki çizgiyi aştığını” değerlendiriyor. “Kendisini korumak için bazı benzersiz güvenlik önlemleri var ama aynı zamanda bazı yönlerden bunları alt üst ediyor.”
Örneğin, çok fazla gürültü yapmaktan kaçınmak için PowerDrop, hedef makineye gönderilen ve hedef makineden gönderilen tüm büyük iletileri çok sayıda, daha küçük iletilere böler. Ayrıca yüklerini de şifreler. Ancak bunu yapmak için, “her şeyi şifrelemek için asla değişmeyen statik bir anahtar kullanıyor. Ve bu yüzden gerçekten algılanabilir,” diyor O’Connor.
Bununla birlikte, bilgisayar korsanlarının “karadan uzakta yaşama” (LotL) stratejisinde standart ücretli Windows programlarını kurnazca kullanmasıyla tüm eksiklikler giderilir.
Kalıcılık sağlamak amacıyla saldırı, kendisini meşru bir hizmet olarak kaydettirmek için sistem yöneticilerinin işletim ortamlarının çeşitli yönlerini yönetmelerine yardımcı olmak üzere tasarlanmış bir arabirim olan Windows Yönetim Araçları’nı (WMI) kullanır.
Sonuç olarak O’Connor, “sisteme kaydedilecek herhangi bir şeye benziyor ve diskte kötü amaçlı dosyalar bırakmıyor” diyor.
En önemlisi, PowerDrop bir PowerShell betiğinden başka bir şey değildir.
PowerShell, bilgisayar korsanları arasında iki temel nedenden dolayı popülerdir. İlk olarak, tamamen meşru BT görevleri için her yerde ve her yerde kullanıldığından, kötü niyetli davranışların meraklı gözlerden daha kolay geçmesine izin verir.
Bunun ötesinde, PowerShell, onu kullanan kullanıcı ister BT yöneticisi ister bilgisayar korsanı olsun, bir Windows bilgisayarı üzerinde önemli yetkiler sağlar. PowerDrop, sahiplerinin savunma yüklenicisinin ağında yönetici düzeyinde çalışmasına, verileri çalmasına veya komutları neredeyse hiç kısıtlama olmaksızın yürütmesine olanak sağlayabilirdi.
PowerDrop’un Arkasında Muhtemelen Ulus-Devlet Aktörü
Şimdiye kadar, PowerDrop’un yalnızca bir yerli havacılık şirketini tehlikeye attığı doğrulandı ve gerçek saldırı hakkında yetersiz ayrıntılar mevcut.
Ancak O’Connor, “Aslında diğer kullanıcıların bunu bulduğuna dair raporlar aldık – bunun ilişkili olduğu ortak bir yazılım parçası olabilir gibi görünüyor – henüz onu çözemedik. .”
Araştırmacılar, kurbanın ve kötü amaçlı yazılımın doğası göz önüne alındığında, PowerDrop’un faillerinin bir ulus devletle ilişkili olabileceğinden şüpheleniyor. Bunun ciddiyeti, yalnızca Ukrayna’daki savaş ve Tayvan’daki siyasi gerilimlerle birleşiyor.
LotL Saldırılarını Ele Alma
Analistler, PowerDrop ve benzeri LotL kötü amaçlı yazılımlarına karşı korunmak için kırmızı takım egzersizleri veya bir programın neden yapıldığı yerine eylemlerinin doğasına öncelik veren yapay zeka güdümlü davranış analizi gibi yaklaşımları deneyebilir.
O’Connor, havacılık ve uzay kuruluşlarının ve benzeri yüksek değerli hedeflerin beyaz listeye alma gibi atabilecekleri birkaç basit adımı daha öneriyor: yalnızca güvenilir uygulamaların ve süreçlerin bir sistemde çalışmasına izin vermek.
Ek olarak, kuruluşların, yalnızca bunları kapsayan komut satırı argümanlarının ötesinde, “gerçekten size çalışmakta olan kodu çözülmüş PowerShell komutlarını gösteren komut dosyası bloğu günlüğünü etkinleştirdiklerinden emin olabileceklerini” söylüyor.
Yöneticiler ayrıca WMI olaylarını denetlemeyi de düşünebilir. O’Connor’a göre WMI, “kötü amaçlı yazılımlar tarafından bugünlerde varlığını sürdürmenin bir yolu olarak gerçekten yaygın olarak kullanılıyor. Pek çok insan bu işlere bakmıyor. Ancak içeri girerseniz, bu kötü amaçlı yazılımın kendini nasıl kaydettiğini görebilirsiniz. ‘SYSTEMPOWERMANAGER’ ve … sistem güç yönetimi değil.” Bu ve diğer önlemler birlikte, PowerDrop kadar zeki ama kusurlu bir arka kapıyı savuşturmak için yeterli olabilir.
O’Connor keşfi üzerine düşünürken, “Gerçekten harika bir şey,” diyor. “NSA’da yıllarca çalıştım ve bu tür şeylere bayılıyorum.”