forex trading platforms canada scripit para investimentos trader paulinho lamana opçoes binarias opcoes para se operar como day trader graficos de opcoes binarias melhores corretoras para operar como trader como operar no lay trade esportivo corretora para operar com apform trader melhores corretoras para investir binarias oo como operar trade na rico
 

Como bloquear atividade mal-intencionada do PowerShell ignorando o AV tradicional

Como bloquear atividade mal-intencionada do PowerShell ignorando o AV tradicional

Os ataques que precedem o uso de malware em favor de técnicas mais sutis, como o PowerShell e outros ataques baseados em scripts, tiveram um aumento na popularidade. Esses ataques geralmente evitam a detecção por soluções AV tradicionais. Em um artigo escrito por pentestlab.blog, o autor ilustra como um script simples gerado em uma ferramenta amplamente disponível ignora as medidas de segurança. Neste artigo, vamos ilustrar o Falcon usando vários recursos de detecção para impedir o PowerShell e outros ataques baseados em script.

 

Pré-requisitos

Uma máquina Kali linux atualizada com metasploit e um host Windows 7 foram usados. Em seguida, veremos as etapas necessárias para recriar o ataque.

 

Etapa 1: gerar um certificado

O script gerado é um comando codificado do PowerShell que estabelece uma conexão criptografada do destino de volta ao invasor. Essa criptografia impede que um sistema HIPS inspecione os pacotes.

 

Os passos a seguir vêm diretamente do blog informativo postado por pentestlab.blog

 

Primeiro para gerar um certificado para o canal criptografado, usei o módulo Metasploit, impersonate_ssl e escolhi um domínio comum para representar. Depois de concluído, verifique se o arquivo gerado está na área de trabalho.

 

 

Pré-requisitos

Uma máquina Kali linux atualizada com metasploit e um host Windows 7 foram usados. Em seguida, veremos as etapas necessárias para recriar o ataque.

 

Etapa 1: gerar um certificado

O script gerado é um comando codificado do PowerShell que estabelece uma conexão criptografada do destino de volta ao invasor. Essa criptografia impede que um sistema HIPS inspecione os pacotes.

 

Os passos a seguir vêm diretamente do blog informativo postado por pentestlab.blog

 

Primeiro para gerar um certificado para o canal criptografado, usei o módulo Metasploit, impersonate_ssl e escolhi um domínio comum para representar. Depois de concluído, verifique se o arquivo gerado está na área de trabalho.

 

 

Etapa 2: configurar o ouvinte

Essa etapa não está na mesma ordem do artigo original, mas atinge o mesmo objetivo. O ouvinte definirá a máquina atacante e o arquivo .pem para usar ao criar um canal de comunicação. Ele também indicará que o SSL deve ser usado ao se comunicar com a vítima.

 

 

Etapa 3: gerar uma carga útil

Finalmente, use o Metasploit MsfVenom é usado para gerar uma carga útil. Nesse caso, a carga útil é o arquivo .bat que, quando executado, lança um script criptografado do PowerShell que abre um canal de comunicação da vítima para o invasor. Essa carga útil aproveita o certificado gerado na etapa 1 para estabelecer a conexão criptografada.

 

 

Exemplo: Falcon protege contra o PowerShell e outros ataques baseados em script.

A Plataforma Falcon é um agente único que executa várias funções. Neste cenário, usarei os recursos do Falcon Prevent para identificar o que essa ameaça está tentando realizar.

 

No alerta abaixo, a árvore de processos fornece uma ideia clara de como esse ataque funciona e o que ele está tentando realizar. Podemos ver que o explorer.exe inicia um prompt de comando e, nesse prompt de comando, vemos que a linha de comando abre o script em lote criado no Metasploit, “crowdstrike.bat”.

 

 

Observando as próximas duas etapas, vemos que o novo prompt de comando chama o PowerShell e, em seguida, executa um comando codificado. O processo subsequente do PowerShell é o mesmo processo codificado em execução.

 

 

Finalmente, o último processo é a tentativa de execução do script codificado. Neste exemplo ilustra 3 comportamentos suspeitos separados, embora o falcon precise somente de um para impedir. O texto verde indica que um processo suspeito foi identificado e evitado. Em seguida, o Falcon reconhece que havia um comando codificado no PowerShell e isso é suspeito. Finalmente, a presença do medidor Metasploit é identificada e carregada em um processo.

 

À direita, no painel de detalhes, recebemos informações adicionais sobre o que o script estava tentando realizar. A seção de operações de rede identifica o servidor atacante e as comunicações estavam na porta 443. Nas Operações de disco, uma lista de todas as DLLs e arquivos lidos e gravados no disco está disponível para investigação adicional.

 

 

Conclusão

Em conclusão, os ataques baseados em script e outros ataques do tipo PowerShell geralmente evitam a detecção por novos e antigos recursos de detecção. O CrowdStrike utiliza vários tipos de métodos de detecção para identificar e interromper a ampla gama de vetores de ataque utilizados atualmente.