探索网络安全新技术
攀登黑客技术最高峰

美国航空航天厂商遭到"PowerDrop"后门攻击入侵

6月6日据威武网安报道,利用Windows原生工具的黑客已经成功地通过一种新型后门感染了至少一家美国国防承包商,这可能为其他恶意软件植入或更糟的后果铺平了道路。

美国航空航天厂商遭到

Adlumin的研究人员在6月6日发布的一份报告中将这个后门称为“PowerDrop”,因为它的代码中使用了“DRP”字符串,而且基于PowerShell——这是一种双重命令外壳和脚本语言。

Adlumin的威胁研究主管Kevin O’Connor解释说:“由于它是通过Windows PowerShell实现的,所以PowerDrop基本上可以完全访问计算机。它运行时具有管理员权限,攻击者可以发出任何远程命令。”

PowerDrop的攻击方式

总的来说,PowerDrop“处于高级持久性威胁(APT)和更基本的脚本小子之间”,O’Connor评估道。“它有一些独特的安全预防措施来保护自己,但在某些方面也会搞砸。”

例如,为避免产生太多噪音,PowerDrop将发送到和从目标机器的大型消息分成多个较小的消息。它还对其载荷进行加密。然而,O’Connor表示:“它使用一个永远不会改变的静态密钥来加密所有内容,因此它很容易被检测到。”

然而,黑客的聪明之处在于他们巧妙地利用标准的Windows程序来实现“living-off-the-land”(LoTL)攻击策略。

为了建立持久性,攻击使用Windows管理规范(WMI)——一个旨在帮助系统管理员管理其操作环境各个方面的接口——将自己注册为合法服务。

因此,O’Connor表示:“它看起来就像系统上注册的任何其他服务,而且不会在磁盘上留下恶意文件。”

最重要的是,PowerDrop并不是什么特别复杂的PowerShell脚本。

黑客常常使用PowerShell有两个主要原因。首先,由于它广泛用于完全合法的IT任务,因此允许恶意行为更容易地逃过监视的眼睛。

此外,PowerShell可以在Windows计算机上为使用它的用户(无论是IT管理员还是黑客)提供重要的控制权。

PowerDrop可能已经使其所有者在国防承包商的网络中以管理员级别操作,几乎没有任何限制地窃取数据或执行命令。

可能是国家行为者制造的PowerDrop
到目前为止,PowerDrop已经被证实仅已入侵一家国内航空航天公司,并且关于实际攻击的详细信息很少。

但O’Connor表示:“我们实际上已经收到了其他用户发现这个后门的报告——看起来可能与某个常见的软件有关——我们只是还没有能够确定下来。”

考虑到受害者的性质和恶意软件,研究人员怀疑PowerDrop的制造者可能与一个国家有关联。这个情况在乌克兰战争和台湾政治紧张的背景下更加严重。

应对LoTL攻击

为了防范PowerDrop和类似的LoTL恶意软件,分析师可以尝试一些方法,比如红队演习,或者基于人工智能的行为分析,重点是程序的行为性质,而不仅仅是它的构成。

对于航空航天组织等高价值目标,O’Connor建议采取一些更直接的措施,例如白名单:只允许可信的应用程序和进程在系统上运行。

此外,他说,组织可以“确保启用了脚本块日志记录,这实际上会显示您正在运行的解码PowerShell命令,而不仅仅是包含它们的命令行参数。”

管理员还可以考虑审计WMI事件。O’Connor指出,WMI“现在是恶意软件常用的一种持久性方式。许多人没有关注这些任务,但如果你进去,就可以看到这种恶意软件如何注册自己为‘SYSTEMPOWERMANAGER’,而……它并不是在管理系统电源。”这些预防措施共同起作用,可能足以抵御像PowerDrop这样聪明但不完美的后门攻击。

O’Connor对他的发现表示:“这真是太酷了。我在NSA工作了多年,我就喜欢这种东西。”

赞(0) 打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《美国航空航天厂商遭到"PowerDrop"后门攻击入侵》
文章链接:https://www.wevul.com/1437.html
本站所有内容均来自互联网,只限个人技术研究,禁止商业用途,请下载后24小时内删除。

评论 抢沙发

如果文章对你有帮助 可以打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册