Palo Alto Networks’ten araştırmacılar, karmaşık, çok aşamalı enfeksiyon vektörleri aracılığıyla kötü şöhretli Tesla kötü amaçlı yazılımdan yararlanan bir dizi kötü amaçlı spam kampanyası ortaya çıkardılar.
Saldırı, genellikle meşru ve alıcı ile alakalı görünmek için hazırlanmış sosyal olarak tasarlanmış bir e -postanın alınmasıyla zararsız bir şekilde başlar.
Bu e -postalar genellikle bir JavaScript (JS) dosyası içeren bir arşiv eki taşır.
.png
)
Bu dosya, yürütüldüğünde, bir PowerShell betiği indirerek enfeksiyonun ilk aşamasını başlatır.
Powershell’in çok aşamalı saldırılarda rolü
PowerShell komut dosyaları, geleneksel güvenlik önlemlerini atlama ve komutları doğrudan bellekte yürütme ve anti-virüs yazılımı tarafından tespitten kaçınma yetenekleri nedeniyle siber suçlular için tercih edilen bir araç haline gelmiştir.
Bu özel kampanya, bir sonraki yük olan Ajan Tesla kötü amaçlı yazılımları sunmak ve yürütmek için PowerShell’i kullanır.
Komut dosyası, son yürütülebilir dosyaları doğrudan sistem belleğine bırakıp yürütmek için tasarlanmıştır ve geleneksel dosya tabanlı algılama yöntemlerini atlatır.
Ayrıca, kötü amaçlı yazılım, kötü niyetli faaliyetlerini daha da maskelemek için kendini meşru bir çalışma sürecine enjekte eder.
Bu tehditle mücadele etmek için Symantec, algılama imzalarını güncelledi ve çeşitli stratejiler uyguladı:
- Uyarlanabilir tabanlı imzalar: ACM.PS-CPE! G2 ve ACM.WSCR-CNPE! G1 gibi imzalar, özellikle PowerShell ve WScript’i içeren komut dosyası tabanlı saldırıları tanımlamak ve engellemek için tasarlanmıştır.
- Davranış Tabanlı Tespit: Symantec, olağandışı süreç lansmanları veya ağ bağlantıları gibi şüpheli davranışları işaretleyen ve kötü amaçlı yazılımları harekete geçirmeye yardımcı olan sonar teknolojisi kullanır.
- Dosya Tabanlı Tespit: ISB.Dropper! Gen1 ve Trojan.gen.2 gibi imzalar Ajan Tesla kampanyasıyla ilişkili bilinen kötü amaçlı dosyaları tanımlamak için kullanılır.
- Ağ Tabanlı İzleme: Ağ denetimleri, şüpheli komut dosyalarından gelen iletişimin ele geçirilmesini ve incelenmesini sağlayarak, ana bilgisayar işlemlerini komut dosyası oluşturmaya odaklanır.
- Web tabanlı koruma: Symantec kapağından ve kampanyayla ilişkili gözlemlenen alanları/IP’leri bloke ederek webpulse özellikli ürünler, daha fazla indirme veya bağlantıyı önler.
VMware Carbon Black ayrıca, bilinen, şüpheli ve potansiyel olarak istenmeyen programlar (PUP’lar) dahil olmak üzere her türlü kötü amaçlı yazılımın engellenmesini önererek bu kötü amaçlı yazılımlara karşı savunmaları da geliştirir.
Ayrıca, bulut taramaları için yürütülmede bir gecikme vardır ve sistemin gerçek zamanlı tehdit bilgileri için VMware Carbon Black Cloud’un itibar hizmetini sorgulamasına izin verir.
Rapora göre, PowerShell gibi araçları kullanan bu saldırıların artan karmaşıklığı, sadece dosya tabanlı tehditlere değil, aynı zamanda davranış, komut dosyaları ve ağ etkinliklerine de odaklanan kapsamlı güvenlik stratejilerine duyulan ihtiyacın altını çiziyor.
Kuruluşlara güvenlik önlemlerini, özellikle e -posta filtreleme, komut dosyası yürütme ve uç nokta koruması ile ilgili olanları güncellemeleri tavsiye edilir.
Ayrıca, çalışanların şüpheli e -postaları tanıması ve işlemesi için düzenli güvenlik eğitimi, enfeksiyonun ilk aşamasını önlemede çok önemli olabilir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!