سیمانتک: بسیاری از اسکریپت‌های پاورشِل مخرب هستند

پاورشِل یک زبان اسکریپتی و چارچوب شِل است که به‌طور پیش‌فرض بر روی بسیاری از رایانه‌های ویندوزی نصب شده است. این ابزار اخیراً به ابراز مورد علاقه‌ی مهاجمان برای آلودگی به بدافزار تبدیل شده است. براساس گزارش جدیدی از سیمانتک تقریباً ۹۵ درصد از اسکریپت‌های پاورشِل مخرب هستند.

انعطاف‌پذیری این چارچوب به مهاجمان اجازه می‌دهد از آن برای بارگیری بار داده‌ی مخرب، عملیات شناسایی و عبور در سطح شبکه سوءاستفاده کنند. بررسی‌های انجام‌شده توسط سیمانتک نشان می‌دهد ۹۵.۴ درصد از اسکریپت‌های مورد بررسی مخرب بوده‌اند. این موضوع نشان می‌دهد که سوءاستفاده از این ابزار تهدید بزرگی هم برای مشتریان و هم برای تجارت‌های مختلف است.

در بسیاری از حملات هدف‌مند که اخیراً رخ داده از پاورشِل استفاده شده است. از جمله حملاتی که توسط گروه Odinaff و یا نویسندگان تروجان Kovter انجام شد. استفاده از پاورشِل به مهاجمان اجازه می‌دهد فرآیند آلودگی به بدافزار را بدون پرونده دنبال کنند و از این رو مهاجمان بسیاری در حال سازگاری با این ابزار هستند.

نمونه‌ی اخیر استفاده از پاورشِل توسط یک بدافزار، August است. این بدافزار برای سرقت گواهی‌نامه‌ها و پرونده‌های حساس و مهم طراحی شده است. این بدافزار از طریق یک سند ورد توزیع می‌شود که حاوی ماکروی مخرب است. زمانی که ماکرو توسط قربانی فعال شد، یک خط فرمان پاورشِل برای بارگیری و نصب بار داده‌ی اصلی باز می‌شود.

محققان سیمانتک گفتند که نمونه‌های زیادی را مشاهده کرده‌اند که در آن‌ها از اسناد آفیس و اسکریپت‌های پاورشِل برای بارگیری بار داده‌ی بدافزار استفاده می‌شود. این شرکت در گزارش اعلام کرد بیشترین خانوده‌ی بدافزاری که از پاورشِل استفاده می‌کنند عبارتند از: W۹۷M.Downloader، Trojan.Kovter و JS.Downloader.

این نتایج از جعبه شنی تحلیل بدافزار شرکت سیمانتک با نام «کت آبی» بدست آمده است. این نتایج نشان می‌دهد تنها در همین یک سال گذشته ۴۹۱۲۷ اسکریپت پاورشِل به این جعبه‌ی شنی ارسال شده است. محققان امنیتی به‌طور جداگانه و دستی ۴۷۸۲ نمونه را تحلیل کرده‌اند که نتایج این بررسی نشان می‌دهد ۱۱۱ خانواده‌ی بدافزاری از خط فرمان پاورشِل بهره‌برداری می‌کنند.

تعداد نمونه‌های دریافتی در سال ۲۰۱۶ به شدت افزایش یافته است و بیشترین مقدار این افزایش از بدافزارهای JS.Downloader و Kovter ناشی شده است. در سه‌ماهه‌ی دوم سال، جعبه‌ی شنی سیمانتک ۱۶ برابر بیشتر نمونه‌ی پاورشِل نسبت به سه‌ماهه‌های اول دریافت کرده است. در سه‌ماهه‌ی سوم نیز شاهد افزایش ۲۲ برابری نمونه‌ها نسبت به سه‌ماهه‌ی دوم بوده است.

محققان سیمانتک می‌گویند، مهاجمان معمولاً برای بارگیری بار داده‌های اضافی از پاورشِل استفاده می‌کنند و روش‌های مختلفی را استفاده می‌کنند تا اسکریپت آن‌ها حتما اجرا شود. به‌طور مثال از پسوندهای دیگری به جز ps۱. استفاده می‌کنند چرا که این پسوندها معمولاً مسدود می‌شوند.

سیمانتک می‌گوید: «از ۱۱۱ نوع تهدیدی که از اسکریپت‌های پاورشِل استفاده می‌کنند، تنها ۸ درصد از آن‌ها از روش‌های مبهم‌سازی مانند ترکیب حروف استفاده می‌کنند. هیچ یک از این خانواده‌های بدافزاری، ترتیب آرگومان‌های خط فرمان را تصادفی نمی‌چینند. بیشترین آرگومان‌های خط فرمان پاورشِل که مورد استفاده قرار می‌گیرد عبارتند از: NoProfile ،WindowStyle و ExecutionPolicy.»

سیمانتک به‌عنوان یکی از بدافزارهای استفاده‌کننده از پاورشِل، بارگیری‌کننده‌ی Nemucod را مثال زده که با باج‌افزار Locky در ارتباط است. پاورشِل در کنار ماکروهای مخرب آفیس نیز مورد استفاده قرار می‌گیرد و در بسیاری از کیت‌های بهره‌برداری از جمله RIG ،Neutrino، Magnitude و Sundown به‌کار رفته است.

در یک حرکت دیگر، مهاجمان برای به خطر انداختن شبکه از روش‌های مورد استفاده در پاورشِل همچون فراخوانی دستورات، Enter-PSSession ،WMI/wmic/Invoke-WMImethod، تزریق پروفایل، زمان‌بند وظایف و حتی ابزارهایی مانند PsExec استفاده می‌کنند. برای ماندگاری بدافزار در سامانه‌ی قربانی از طریق ذخیره‌ی اسکریپت در رجیستری، زمان‌بندی وظایف، قرار دادن اسکریپت در پوشه‌ی آغازین، استفاده از WMI و یا سیاست‌های گروه و یا آلوده کردن پروفایل محلی از پاورشِل بهره‌برداری می‌شود.

سیمانتک در این گزارش به جزئیات روش‌های مبهم‌سازی اسکریپت پاورشِل پرداخته است. در نتیجه‌گیری نهایی، سیمانتک گفته است: «شواهد نشان می‌دهد استفاده از پاورشِل در تهدیدات مختلف رو به افزایش است. ما توصیه می‌کنیم برای افزایش راه‌کارهای دفاعی خود، به‌طور مداوم پاورشِل را به آخرین نسخه به‌روزرسانی کرده و ویژگی‌های ورود بیشتری برای استفاده از پاورشِل به کار ببرید. علاوه بر این، مطمئن شوید که از پاورشِل در سناریوی حمله‌ی شما استفاده شده است و در ادامه پرونده‌های ثبت رخدادها را مورد بررسی و نظارت قرار دهید.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.