Vírusírás PowerShell segítségével

A vírusírók folyamatosan keresik azokat az eszközöket, amelyeket a saját céljaik elérésére tudnak felhasználni. Legutóbb a PowerShell és néhány más jól ismert technológia került a kezük közé.
 

A Symantec és a Trend Micro víruskutatói is arra lettek figyelmesek, hogy a kártékony programok működésében és terjesztésében egyre gyakrabban kapnak szerepet olyan technológiák, amelyek a mindennapi életben a felhasználók és az informatikusok számára is jó szolgálatot tesznek. Ezek közé tartozik például a PowerShell parancssori környezet és az anonimitást biztosító Tor. E megoldások már korábban is szerepet kaptak károkozásokban - különösen a Tor -, de most úgy tűnik, hogy ezek mind inkább előtérbe kerülnek a vírusterjesztés szempontjából is.

Rejtőzködésből jeles

A Symantec szakemberei egy olyan trójaira akadtak, amely a PowerShell amúgy megannyi hasznos funkcióját kifejezetten kártékony célokra fordítja. Először az ártalmas kódjait beinjektálja egy rundll32.exe folyamatba, amivel a feltűnést próbálja kerülni. A Windows folyamatának megfertőzésére azonban nem közvetlenül kerül sor, ugyanis a károkozó lényegi kódja titkosított formában jut fel a számítógépekre. A dekódolást követően egy tömörített adathalmaz válik elérhetővé, amelynek kitömörítését követően bekerülhet a memóriába a támadások végrehajtását elősegítő kód. Ez a többlépcsős folyamat azt a célt szolgálja, hogy az antivírus alkalmazás vagy akár a PowerShell scriptbe betekintő felhasználó minél kisebb valószínűséggel fogjon gyanút. Amikor a trójai elindul, akkor csatlakozik egy távoli kiszolgálóhoz, amelyről fogadja a támadók parancsait. Ezeket rögtön feldolgozza és végrehajtja, amivel távolról vezérelhetővé, kompromittálhatóvá teszi a fertőzött rendszert.


A már dekódolt, de még részben tömörített script - Forrás: Symantec

Fontos megjegyezni, hogy a PowerShell a Windows 7, illetve a Windows Server 2008 R2 óta az operációs rendszer része, míg a Windows XP, a Windows Vista, a Windows Server 2003 és a Windows Server 2008 esetében külön telepíthető.

Egy összetettebb példány

A Trend Micro kutatói is egy olyan kártékony programot lepleztek le, amely egyebek mellett a PowerShell "erejét" használja ki. A Crigent vagy más néven Power Worm nevű féreg Word és Excel fájlok révén próbál terjedni. Amennyiben egy fertőzött dokumentumot vagy munkafüzetet megnyit a felhasználó, akkor a károkozó előtt szabaddá válik az út. Először megpróbál interneten keresztül beszerezni további állományokat. E fájlokat a vírusterjesztők legtöbbször a Microsoft OneDrive vagy a Dropbox szolgáltatás révén teszik elérhetővé, és ilyen módon a féreg legális, felhős szolgáltatásokból tudja letölteni az egyes összetevőit. Ezt követően rendszerinformációkat gyűjt össze, majd szivárogtat ki, amivel egyúttal értesíti a terjesztőit a fertőzés megtörténtéről, illetve az áldozatául esett PC legfontosabb paramétereiről. A kártékony program a hálózati kommunikációja során felhasználja a Tor által nyújtott lehetőségeket, illetve egy Polipo proxy komponenst is feltelepít a rendszerekre.


Script a .doc és .xls kiterjesztésű fájlok felkutatásához - Forrás: Trend Micro

A Crigent valódi károkat azzal tud előidézni, hogy PowerShell scriptek segítségével megfertőzi a számítógépen tárolt, összes xls és doc kiterjesztésű fájlt, amivel biztosítja a további terjedését. A manipulációival a fájlokat használhatatlanná teszi, ami - biztonsági mentések hiányában - értékes dokumentumok, táblázatok elvesztéséhez vezethet. A féreg szintén PowerShell scriptek segítségével arról is gondoskodik, hogy a Word és Excel alkalmazások ne jelenítsenek meg biztonsági figyelmeztetéseket, illetve a makrókat lehetőleg felhasználói beavatkozás nélkül lefuttassák.

Védekezési lehetőségek

A biztonsági kutatók a fenti kártékony programok kapcsán elsősorban arra hívták fel a figyelmet, hogy mindennapokban használt, jól ismert eszközök felhasználásával, illetve azok kombinálásával miként lehet károkat előidézni. A megfelelő szintű védelem kiépítéséhez természetesen szükség van naprakészen tartott víruskeresők használatára. Mivel azonban teljesen legális szoftverek kerültek a vírusírók kezébe, ezért a nemkívánatos tevékenységek detektálásához korszerű technológiákkal felvértezett biztonsági szoftvereket célszerű használni, amelyek többek között viselkedésalapú, heurisztikus eljárásokat is támogatnak. Mindezek mellett PowerShell és bármilyen más parancsfájl futtatását csak kellő körültekintéssel szabad végezni, miközben a PowerShell biztonsági beállításait érdemes minél erősebbre venni.
 
  1. 3

    A Google ChromeOS két fontos biztonsági javítást kapott.

  2. 4

    Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.

  3. 3

    Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.

  4. 3

    A cURL fejlesztői négy biztonsági hibáról számoltak be.

  5. 4

    Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.

  6. 4

    A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.

  7. 4

    A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.

  8. 4

    A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.

  9. 4

    A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.

  10. 3

    A Zulip Serverhez egy biztonsági hibajavítás vált elérhetővé.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség