Como bloquear atividade mal-intencionada do PowerShell ignorando o AV tradicional

Como bloquear atividade mal-intencionada do PowerShell ignorando o AV tradicional

Os ataques que precedem o uso de malware em favor de técnicas mais sutis, como o PowerShell e outros ataques baseados em scripts, tiveram um aumento na popularidade. Esses ataques geralmente evitam a detecção por soluções AV tradicionais. Em um artigo escrito por pentestlab.blog, o autor ilustra como um script simples gerado em uma ferramenta amplamente disponível ignora as medidas de segurança. Neste artigo, vamos ilustrar o Falcon usando vários recursos de detecção para impedir o PowerShell e outros ataques baseados em script.

 

Pré-requisitos

Uma máquina Kali linux atualizada com metasploit e um host Windows 7 foram usados. Em seguida, veremos as etapas necessárias para recriar o ataque.

 

Etapa 1: gerar um certificado

O script gerado é um comando codificado do PowerShell que estabelece uma conexão criptografada do destino de volta ao invasor. Essa criptografia impede que um sistema HIPS inspecione os pacotes.

 

Os passos a seguir vêm diretamente do blog informativo postado por pentestlab.blog

 

Primeiro para gerar um certificado para o canal criptografado, usei o módulo Metasploit, impersonate_ssl e escolhi um domínio comum para representar. Depois de concluído, verifique se o arquivo gerado está na área de trabalho.

 

 

Pré-requisitos

Uma máquina Kali linux atualizada com metasploit e um host Windows 7 foram usados. Em seguida, veremos as etapas necessárias para recriar o ataque.

 

Etapa 1: gerar um certificado

O script gerado é um comando codificado do PowerShell que estabelece uma conexão criptografada do destino de volta ao invasor. Essa criptografia impede que um sistema HIPS inspecione os pacotes.

 

Os passos a seguir vêm diretamente do blog informativo postado por pentestlab.blog

 

Primeiro para gerar um certificado para o canal criptografado, usei o módulo Metasploit, impersonate_ssl e escolhi um domínio comum para representar. Depois de concluído, verifique se o arquivo gerado está na área de trabalho.

 

 

Etapa 2: configurar o ouvinte

Essa etapa não está na mesma ordem do artigo original, mas atinge o mesmo objetivo. O ouvinte definirá a máquina atacante e o arquivo .pem para usar ao criar um canal de comunicação. Ele também indicará que o SSL deve ser usado ao se comunicar com a vítima.

 

 

Etapa 3: gerar uma carga útil

Finalmente, use o Metasploit MsfVenom é usado para gerar uma carga útil. Nesse caso, a carga útil é o arquivo .bat que, quando executado, lança um script criptografado do PowerShell que abre um canal de comunicação da vítima para o invasor. Essa carga útil aproveita o certificado gerado na etapa 1 para estabelecer a conexão criptografada.

 

 

Exemplo: Falcon protege contra o PowerShell e outros ataques baseados em script.

A Plataforma Falcon é um agente único que executa várias funções. Neste cenário, usarei os recursos do Falcon Prevent para identificar o que essa ameaça está tentando realizar.

 

No alerta abaixo, a árvore de processos fornece uma ideia clara de como esse ataque funciona e o que ele está tentando realizar. Podemos ver que o explorer.exe inicia um prompt de comando e, nesse prompt de comando, vemos que a linha de comando abre o script em lote criado no Metasploit, “crowdstrike.bat”.

 

 

Observando as próximas duas etapas, vemos que o novo prompt de comando chama o PowerShell e, em seguida, executa um comando codificado. O processo subsequente do PowerShell é o mesmo processo codificado em execução.

 

 

Finalmente, o último processo é a tentativa de execução do script codificado. Neste exemplo ilustra 3 comportamentos suspeitos separados, embora o falcon precise somente de um para impedir. O texto verde indica que um processo suspeito foi identificado e evitado. Em seguida, o Falcon reconhece que havia um comando codificado no PowerShell e isso é suspeito. Finalmente, a presença do medidor Metasploit é identificada e carregada em um processo.

 

À direita, no painel de detalhes, recebemos informações adicionais sobre o que o script estava tentando realizar. A seção de operações de rede identifica o servidor atacante e as comunicações estavam na porta 443. Nas Operações de disco, uma lista de todas as DLLs e arquivos lidos e gravados no disco está disponível para investigação adicional.

 

 

Conclusão

Em conclusão, os ataques baseados em script e outros ataques do tipo PowerShell geralmente evitam a detecção por novos e antigos recursos de detecção. O CrowdStrike utiliza vários tipos de métodos de detecção para identificar e interromper a ampla gama de vetores de ataque utilizados atualmente.