Como bloquear uma atividade maliciosa do PowerShell: ignorando o antivírus tradicional

Como bloquear uma atividade maliciosa do PowerShell: ignorando o antivírus tradicional

Introdução

Os ataques que precedem o uso de malware em favor de técnicas mais sutis, como o PowerShell e outros ataques baseados em scripts, viram um aumento na popularidade. Esses ataques geralmente evitam a detecção por soluções antivírus tradicionais. Em um artigo escrito por pentestlab.blog, o autor ilustra como um script simples gerado em uma ferramenta amplamente disponível ignora as medidas de segurança. Neste artigo, ilustraremos o Falcon usando vários recursos de detecção para impedir o PowerShell e outros ataques baseados em script.

Vídeo

Ler transcrição de vídeo

Pré-requisitos

Uma máquina Linux Kali atualizada com metasploit e um host Windows 7 foram usados. A seguir, veremos as etapas necessárias para recriar o ataque.

Etapa 1: gerar um certificado

O script gerado é um comando do PowerShell codificado que estabelece uma conexão criptografada do destino de volta ao invasor. Essa criptografia impede que um sistema HIPS inspecione os pacotes.

As etapas a seguir vêm diretamente do blog informativo publicado por pentestlab.blog

Primeiro, para gerar um certificado para o canal criptografado, usei o módulo Metasploit, impersonate_ssl e escolhi um domínio comum para representar. Depois de concluído, verifique se o arquivo gerado está na área de trabalho.

gerar um certificado

 

 

 

 

 

 

 

 

 

 

Etapa 2: configurar o ouvinte

Esta etapa não está na mesma ordem que o artigo original, mas cumpre o mesmo objetivo. O ouvinte definirá a máquina atacante e o arquivo .pem a serem usados ​​ao criar um canal de comunicação. Ele também indicará que o SSL deve ser usado ao se comunicar com a vítima.

configurar o manipulador

Etapa 3: Gerar uma carga útil

Finalmente, o Metasploit MsfVenom é usado para gerar uma carga útil. Nesse caso, a carga útil é um arquivo .bat que, quando executado, inicia um script criptografado do PowerShell que abre um canal de comunicação da vítima ao invasor. Essa carga utiliza o certificado gerado na etapa 1 para estabelecer a conexão criptografada.

Carga útil do arquivo de bastão do PowerShell

Exemplo: o Falcon protege contra o PowerShell e outros ataques baseados em script

A plataforma Falcon é um agente único que executa várias funções. Nesse cenário, usarei os recursos do Falcon Prevent para identificar o que essa ameaça está tentando realizar.

No alerta abaixo, a árvore de processos fornece uma ideia clara de como esse ataque funciona e o que está tentando realizar. Podemos ver que o explorer.exe inicia um prompt de comando e, nesse prompt, vemos a linha de comando abrir o script em lote criado no Metasploit, “crowdstrike.bat”.

etapa de detecção 1

Observando as próximas duas etapas, vemos que o novo prompt de comando chama o PowerShell e, em seguida, executa um comando codificado. O processo subsequente do PowerShell é o mesmo processo codificado em execução.

Etapa de detecção 2

Finalmente, o último processo é a tentativa de execução do script codificado. Neste exemplo, ilustramos três comportamentos suspeitos separados, embora o Falcon precise apenas de um para impedir. O texto verde indica que um processo suspeito foi identificado e impedido. O próximo Falcon reconhece que havia um comando codificado no PowerShell e isso é suspeito. Finalmente, a presença do multímetro do Metasploit é identificada e carregada em um processo.

À direita, no painel de detalhes, obtemos informações adicionais sobre o que o script estava tentando realizar. A seção de operações de rede identifica o servidor atacante e as comunicações foram pela porta 443. Nas Operações de disco, uma lista de todas as DLLs e arquivos lidos e gravados no disco está disponível para investigação adicional.

Etapa de detecção 3

Conclusão

Em conclusão, os ataques baseados em scripts e outros do tipo PowerShell geralmente evitam a detecção por recursos novos e antigos. O CrowdStrike utiliza muitos tipos de métodos de detecção para identificar e interromper a ampla gama de vetores de ataque utilizados atualmente.

 

Fonte: https://www.crowdstrike.com/blog/tech-center/how-to-block-malicious-powershell-activity/