Większość produktów zabezpieczających jest dobra w wykrywaniu ataków opartych na plikach. Jednak skrypty są jednym ze sposobów na ominięcie możliwości wykrywania zagrożeń większości produktów zabezpieczających. Jest to świetny sposób dla atakujących, aby uniknąć wprowadzania zmian na dysku, co utrudnia jego zlokalizowanie.
Obecnie skrypty zapewniają wstępny dostęp, pozwalają na ucieczkę, a także ułatwiają ruch boczny po infekcji. Atakujący zazwyczaj wykorzystują scenariusze na dwa sposoby. Pierwszym sposobem byłoby użycie go bezpośrednio na grupie, którą chcesz zaatakować. Drugim sposobem byłoby osadzenie tego skryptu w dokumentach Office i plikach PDF, a następnie przesłanie ich pocztą elektroniczną do swojej ofiary.
Ewolucja cyberataków z wykorzystaniem scenariuszy w ostatnich latach
Ataki oparte na scenariuszach zaczęły zyskiwać popularność w 2017 roku i od tego czasu wzrosły o ponad 100%. Jednocześnie państwa i grupy cyberprzestępcze przyjęły korzystanie ze skryptów offline i złośliwego oprogramowania jako jednego z preferowanych sposobów osiągania swoich celów. Według raportu bezpieczeństwa Instytutu Ponemon z 2020 r. ataki oparte na skryptach stanowią obecnie 40% wszystkich cyberataków.
W latach 2019-2018 wzrosło wykorzystanie metod ataku bez plików. Podejrzewano wówczas, że do infekowania komputerów używano legalnych aplikacji i natywnych narzędzi, takich jak PowerShell. Organizacja Narodów Zjednoczonych scenariusz może wahać się od prostych skryptów systemowych po zaawansowane języki skryptowe używane do konfiguracji systemu, a także do automatyzacji złożonych zadań i innych ogólnych celów.
Najczęstsze języki skryptowe to:
- VBScript.
- JavaScript.
- PowerShell.
W przeciwieństwie do aplikacji działających podczas kompilowania kodu maszynowego komputery bezpośrednio interpretują skrypty.
W ten sposób cyberprzestępcy wykorzystują skrypty
Po rozpoczęciu infekcji za pomocą skryptu dzieją się dwie rzeczy:
- La Załaduj kto wykona czynności, które chce wykonać napastnik. Ma to na celu zbieranie informacji, szyfrowanie plików lub komunikację backdoor.
- Le ruch boczny prowadzące do infekcji dodatkowych komputerów w sieci.
Korzystanie ze skryptów cyberprzestępczych niesie ze sobą wiele korzyści. Powodem jest to, że są łatwe do napisania i wykonania, nieistotne do ukrycia i niezwykle wszechstronne. Dodatkowo istnieje wiele rodzajów plików skryptów, które możemy wykorzystać do przeprowadzenia ataku. Najpopularniejsze to PowerShell, JavaScript, HTA, VBA, VBS i skrypty.
Jednym z faktów, o których nie wolno nam zapominać, jest to, że ataki odbywają się bez plików pamięci. Eliminuje to potrzebę tradycyjnego wykrywania plików statycznych. Scenariusze również komplikują analizę, ponieważ wiele danych związanych z atakiem istnieje tylko w pamięci komputera i można je zastąpić lub usunąć przez ponowne uruchomienie.
Jeśli chcemy zidentyfikować te scenariusze, zrobimy to za pomocą analiza heurystyczna i behawioralna , co w tym przypadku może pozwolić nam na wykrycie złośliwej aktywności w pamięci. Odciski palców są niezbędne do tworzenia ekranów Ataki oparte na scenariuszach działają na prawie wszystkich systemach Windows ten Jeśli weźmiemy pod uwagę, że są one coraz częściej stosowane w naszych komputerach stacjonarnych i laptopach, możemy powiedzieć, że znacznie zwiększają ryzyko ataku lub infekcji.
Le większy wada ataki oparte na scenariusze jest to, że o ile nie jest realizowane przez eksploatację, wymagana jest interakcja użytkownika biegać. Typowym przypadkiem może być skrypt zawarty w pliku e-mail. Aby go uruchomić, wymagana jest akcja użytkownika, aby włączyć makra w dokumencie i uruchomić makro VBA. W RedesZone radzimy nie otwierać plików ani nie uruchamiać plików, których źródło nie jest w pełni wiarygodne. Jednak zawsze sprawdzanie tych plików za pomocą programu antywirusowego lub oprogramowania antywirusowego nigdy nie zaszkodzi.
Jeśli nie wiesz, istnieje wiele rodzajów złośliwego oprogramowania, które używają skryptów. Na przykład możesz pobrać przenośny plik wykonywalny (PE), zapisać go na dysku lub uruchomić z pamięci, w zależności od poziomu zaawansowania. Następnie ten skrypt może wykonywać złośliwe działania, takie jak pobieranie informacji o ofierze, nazwy komputera, a nawet zapisanych haseł.
Deep Instinct Threat Intelligence, analizując serię próbek ataków, stwierdził, że 75% niepodpisanych kampanii wykorzystywało skrypty na co najmniej jednym etapie ataku. Głównie typy PowerShell, HTA, JavaScript i VBA.
Na przykład irański zespół OilRig wykorzystuje scenariusze ataku. W tym celu wykorzystuje dokument programu Microsoft Word, który wykorzystuje lukę CVE-2017-0199 i udostępnia skrypt HTA, który jest wykonywany przez proces systemu Windows, który wykorzystuje wykonywalny plik HTML mshta.exe. Po wykonaniu skrypt uruchamia atak dostarczający trojana Helminth jako pliki PowerShell i VBS.
PowerShell, JavaScript, HTA i VBScript do ataków skryptowych
PowerShell to framework używany do zarządzania konfiguracją i automatyzacji zadań, z wierszem poleceń i językiem skryptowym. Dzięki temu jest użytecznym i elastycznym narzędziem dla administratorów systemów automatyzujących procesy zarządzania IT (IT).
Atakujący używają PowerShell w swoich atakach do ładowania złośliwego oprogramowania bezpośrednio do pamięci bez zapisywania na dysku. Zapobiega to ich wykryciu przez wiele produktów zabezpieczających. Jest również używany przez PowerShell do automatyzacji procesów filtrowania i zanieczyszczenia danych przy użyciu platform takich jak Metasploit i PowerSploit.
Ta metoda była dobrze znanym atakiem Malware kobaltowe korzystając z CVE-2017-11882. Gdy użytkownik otwiera dokument, exploit zawarty w dokumencie pobiera JavaScript, który z kolei wykonuje kilka skryptów PowerShell, z których ostatni zawierał w skrypcie bibliotekę Cobalt DLL. Kończą się w pamięci PowerShell bez płukania dysku. Wykorzystując tę eksploatację, osoby atakujące przeprowadziły atak bezplikowy, w którym jedyną czynnością, jaką wykonał użytkownik, było otwarcie droppera dokumentów.
Kolejnym elementem wykorzystywanym do ataków skryptowych jest: JavaScript. Jeśli nie wiesz, to jest język używany na stronach internetowych, aplikacjach internetowych i przeglądarkach. Ponadto JavaScript może manipulować i modyfikować pliki PDF za pomocą osadzonych obiektów, łączy internetowych itp.
W tym przypadku większość ataków opartych na PDF wykorzystuje oprogramowanie czytnika PDF lub czytnik oparty na przeglądarce do uruchamiania kodu JavaScript na komputerze ofiary.
Ponadto można tworzyć złośliwe scenariusze, które wpływają na:
- Aplikacja HTML (HTA ), który jest plikiem systemu Microsoft Windows przeznaczonym do uruchamiania w programie Internet Explorer i łączącym kod HTML ze skryptami zgodnymi z programem Internet Explorer, takimi jak VBScript lub JScript. Pliki HTA są wykonywane przez silnik Microsoft HTA (mshta.exe).
- VBScript (Microsoft Visual Basic Scripting Edition) to język skryptowy oparty na VBA (Visual Basic for Applications). Zamiast pełnego rozwoju aplikacji oferowanego przez VBA, VBS oferuje prostsze zastosowanie do automatyzacji pracy administratorów systemu. Innym powodem, dla którego atakujący uważają go za przydatny, jest obsługa przez firmę Microsoft szyfrowania skryptów jako plików VBE.
Pozwala to chronić się przed atakami opartymi na skryptach
Wiele ataków opartych na skryptach ma miejsce każdego dnia. My, podobnie jak firmy, musimy być gotowi do walki z nimi. Pierwszym podstawowym krokiem, który każda organizacja musi rozważyć, jest zaklasyfikowanie pracowników do jednej z następujących trzech grup:
- Tych, którzy w codziennej pracy realizują scenariusze.
- Ci, którzy zwykle nie uruchamiają skryptów, ale powinni ich używać okazjonalnie.
- Ci, którzy nie muszą uruchamiać skryptów.
Wreszcie, po skonfigurowaniu grup roboczych zespoły ds. bezpieczeństwa muszą zapewnić, że skrypty mogą być wykonywane tylko z witryn tylko do odczytu, które są dostępne dla określonych komputerów. Ponadto te zespoły ds. bezpieczeństwa powinny ograniczać i monitorować wykorzystanie interaktywnego PowerShell w firmie. Ułatwi ci to uniknięcie ataków skryptowych.