04 set Como bloquear atividade mal-intencionada do PowerShell ignorando o AV tradicional
Os ataques que precedem o uso de malware em favor de técnicas mais sutis, como o PowerShell e outros ataques baseados em scripts, tiveram um aumento na popularidade. Esses ataques geralmente evitam a detecção por soluções AV tradicionais. Em um artigo escrito por pentestlab.blog, o autor ilustra como um script simples gerado em uma ferramenta amplamente disponível ignora as medidas de segurança. Neste artigo, vamos ilustrar o Falcon usando vários recursos de detecção para impedir o PowerShell e outros ataques baseados em script.
Pré-requisitos
Uma máquina Kali linux atualizada com metasploit e um host Windows 7 foram usados. Em seguida, veremos as etapas necessárias para recriar o ataque.
Etapa 1: gerar um certificado
O script gerado é um comando codificado do PowerShell que estabelece uma conexão criptografada do destino de volta ao invasor. Essa criptografia impede que um sistema HIPS inspecione os pacotes.
Os passos a seguir vêm diretamente do blog informativo postado por pentestlab.blog
Primeiro para gerar um certificado para o canal criptografado, usei o módulo Metasploit, impersonate_ssl e escolhi um domínio comum para representar. Depois de concluído, verifique se o arquivo gerado está na área de trabalho.
Pré-requisitos
Uma máquina Kali linux atualizada com metasploit e um host Windows 7 foram usados. Em seguida, veremos as etapas necessárias para recriar o ataque.
Etapa 1: gerar um certificado
O script gerado é um comando codificado do PowerShell que estabelece uma conexão criptografada do destino de volta ao invasor. Essa criptografia impede que um sistema HIPS inspecione os pacotes.
Os passos a seguir vêm diretamente do blog informativo postado por pentestlab.blog
Primeiro para gerar um certificado para o canal criptografado, usei o módulo Metasploit, impersonate_ssl e escolhi um domínio comum para representar. Depois de concluído, verifique se o arquivo gerado está na área de trabalho.
Etapa 2: configurar o ouvinte
Essa etapa não está na mesma ordem do artigo original, mas atinge o mesmo objetivo. O ouvinte definirá a máquina atacante e o arquivo .pem para usar ao criar um canal de comunicação. Ele também indicará que o SSL deve ser usado ao se comunicar com a vítima.
Etapa 3: gerar uma carga útil
Finalmente, use o Metasploit MsfVenom é usado para gerar uma carga útil. Nesse caso, a carga útil é o arquivo .bat que, quando executado, lança um script criptografado do PowerShell que abre um canal de comunicação da vítima para o invasor. Essa carga útil aproveita o certificado gerado na etapa 1 para estabelecer a conexão criptografada.
Exemplo: Falcon protege contra o PowerShell e outros ataques baseados em script.
A Plataforma Falcon é um agente único que executa várias funções. Neste cenário, usarei os recursos do Falcon Prevent para identificar o que essa ameaça está tentando realizar.
No alerta abaixo, a árvore de processos fornece uma ideia clara de como esse ataque funciona e o que ele está tentando realizar. Podemos ver que o explorer.exe inicia um prompt de comando e, nesse prompt de comando, vemos que a linha de comando abre o script em lote criado no Metasploit, “crowdstrike.bat”.
Observando as próximas duas etapas, vemos que o novo prompt de comando chama o PowerShell e, em seguida, executa um comando codificado. O processo subsequente do PowerShell é o mesmo processo codificado em execução.
Finalmente, o último processo é a tentativa de execução do script codificado. Neste exemplo ilustra 3 comportamentos suspeitos separados, embora o falcon precise somente de um para impedir. O texto verde indica que um processo suspeito foi identificado e evitado. Em seguida, o Falcon reconhece que havia um comando codificado no PowerShell e isso é suspeito. Finalmente, a presença do medidor Metasploit é identificada e carregada em um processo.
À direita, no painel de detalhes, recebemos informações adicionais sobre o que o script estava tentando realizar. A seção de operações de rede identifica o servidor atacante e as comunicações estavam na porta 443. Nas Operações de disco, uma lista de todas as DLLs e arquivos lidos e gravados no disco está disponível para investigação adicional.
Conclusão
Em conclusão, os ataques baseados em script e outros ataques do tipo PowerShell geralmente evitam a detecção por novos e antigos recursos de detecção. O CrowdStrike utiliza vários tipos de métodos de detecção para identificar e interromper a ampla gama de vetores de ataque utilizados atualmente.