Μια πρόσφατη αναφορά από CYFIRMA αποκάλυψε την εμφάνιση ενός νέου keylogger που λειτουργεί μέσω ενός σεναρίου PowerShell, ενός πλαισίου διαχείρισης αυτοματισμού εργασιών και διαμόρφωσης από τη Microsoft.
Το keylogger είναι ένας τύπος κακόβουλου λογισμικού που καταγράφει κάθε πάτημα πλήκτρων σε ένα μολυσμένο σύστημα. Καταγράφοντας εισόδους πληκτρολογίου, τα keyloggers μπορούν να συλλέγουν ευαίσθητες πληροφορίες όπως π.χ διαπιστευτήρια σύνδεσηςαριθμούς πιστωτικών καρτών και προσωπικές επικοινωνίες και χρησιμοποιούνται συχνά για την κλοπή οικονομικών δεδομένων ή την κατασκοπεία ατόμων και οργανισμών.
Το keylogger που αναλύθηκε στην έρευνα του CYFIRMA χρησιμοποιεί το σενάριο PowerShell της Microsoft για να καταγράφει κρυφά τα πλήκτρα. Η εγγενής ενσωμάτωση του PowerShell με τα Windows, σε συνδυασμό με τις ισχυρές δυνατότητες δέσμης ενεργειών του, το καθιστά ελκυστικό στόχο για επιτιθέμενους που επιδιώκουν να εκτελέσουν εντολές χωρίς άμεση αλληλεπίδραση με τον χρήστη.
Keylogger που βασίζεται σε PowerShell
Οι ερευνητές σημειώνουν ότι αυτό το keylogger PowerShell παρουσιάζει αρκετές προηγμένες δυνατότητες που ενισχύουν τη μυστικότητα και την αποτελεσματικότητά του στη λήψη ευαίσθητων πληροφοριών.
Αυτό περιλαμβάνει τον διερμηνέα εντολών και δέσμης ενεργειών, ο οποίος επιτρέπει στο keylogger να εκτελεί εντολές μέσω του PowerShell χωρίς να απαιτείται αλληλεπίδραση με τον χρήστη, περιπλέκοντας σημαντικά τις προσπάθειες ανίχνευσης.
Το keylogger εκτελεί επίσης ανακάλυψη συστήματος, συλλέγοντας κρίσιμες πληροφορίες, όπως καταλόγους προφίλ χρήστη, λεπτομέρειες τόμου και κρυπτογραφικές ρυθμίσεις.
Επιπλέον, το keylogger δημιουργεί επικοινωνία Command-and-Control (C2) μέσω και των δύο α διακομιστή cloud και ένας διακομιστής Onion στο δίκτυο Tor. Αυτή η επικοινωνία δύο καναλιών όχι μόνο διατηρεί την ανωνυμία για τους επιτιθέμενους αλλά και περιπλέκει τις προσπάθειες εντοπισμού πίσω στην πηγή τους. Ενσωματώνει επίσης μια λειτουργία καταγραφής οθόνης, επιτρέποντας στους εισβολείς να λαμβάνουν οπτικά δεδομένα από το μολυσμένο σύστημα εκτός από την καταγραφή των πληκτρολογήσεων.
Για να αποφύγει τον εντοπισμό, το keylogger χρησιμοποιεί κωδικοποιημένη εκτέλεση εντολών, μεταδίδοντας εντολές χρησιμοποιώντας την κωδικοποίηση Base64. Αυτή η τεχνική αποκρύπτει τις εντολές από τα παραδοσιακά μέτρα ασφαλείας.
Κάνει επίσης επίμονες προσπάθειες σύνδεσης μέσω SOCKS πληρεξούσιοδιασφαλίζοντας ότι ακόμη και αν αποτύχουν οι αρχικές προσπάθειες σύνδεσης, το keylogger θα συνεχίσει να προσπαθεί να δημιουργήσει επικοινωνία. Ενώ η τρέχουσα έκδοση του keylogger δεν διαθέτει πλήρως ανεπτυγμένο μηχανισμό επιμονής, ο ελλιπής κώδικας υποδηλώνει ότι οι μελλοντικές ενημερώσεις ενδέχεται να ενισχύσουν την ικανότητά του να διατηρεί μια βάση σε μολυσμένα συστήματα.
Δεδομένης της προηγμένης φύσης αυτού του keylogger που βασίζεται σε PowerShell, η CYFIRMA σημειώνει ότι οι οργανισμοί θα πρέπει να εφαρμόζουν ισχυρά μέτρα κυβερνοασφάλειας για την άμυνα έναντι τέτοιων απειλών, όπως:
- Βελτίωση πολιτικών ασφαλείας: Οι οργανισμοί θα πρέπει να επιβάλλουν αυστηρές πολιτικές ασφαλείας για να περιορίζουν την εκτέλεση μη εξουσιοδοτημένων σεναρίων PowerShell. Αυτό μπορεί να περιλαμβάνει την απενεργοποίηση ή τον περιορισμό της χρήσης του PowerShell όπου δεν είναι απαραίτητο και την ενεργή παρακολούθηση για τυχόν μη εξουσιοδοτημένες προσπάθειες εκτέλεσης.
- Επενδύστε στον προηγμένο εντοπισμό απειλών: Εφαρμόστε προηγμένα συστήματα ανίχνευσης απειλών που αξιοποιούν τη μηχανική μάθηση και την ανάλυση συμπεριφοράς. Αυτά τα συστήματα μπορούν να εντοπίσουν και να ανταποκριθούν αποτελεσματικότερα σε εξελιγμένες απειλές, όπως τα keyloggers.
- Εκπαίδευση των εργαζομένων: Συμπεριφέρετε τακτικά προπονήσεις για την ευαισθητοποίηση των εργαζομένων σχετικά με τους κινδύνους του phishing και άλλων τεχνικών κοινωνικής μηχανικής, που χρησιμοποιούνται συχνά για την ανάπτυξη keyloggers.
- Διεξάγετε τακτικούς ελέγχους συστήματος: Προγραμματίστε συχνούς ελέγχους συστήματος και ελέγχους ακεραιότητας για να εντοπίσετε τυχόν μη εξουσιοδοτημένες τροποποιήσεις, συμπεριλαμβανομένης της παρουσίας keyloggers. Αυτοί οι έλεγχοι συμβάλλουν στη διασφάλιση της συμμόρφωσης με τις καθιερωμένες πολιτικές ασφαλείας.
- Αναπτύσσω προστασία τελικού σημείου: Χρησιμοποιήστε λύσεις προστασίας τελικού σημείου που έχουν σχεδιαστεί για τον εντοπισμό και τον αποκλεισμό δραστηριοτήτων keylogger. Αυτές οι λύσεις θα πρέπει να είναι σε θέση να εντοπίζουν απειλές που λειτουργούν χρησιμοποιώντας μη διαδραστικές διαδικασίες PowerShell για την ενίσχυση της συνολικής ασφάλειας.
VIA: TechRadar.com/
