حمله سایبری Steal-It

حمله سایبری Steal-It

تاریخ ایجاد

یک حمله سایبری جدید از اسکریپت PowerShell مرتبط با یک ابزار مورد استفاده تیم قرمز برای دزدیدن هش‌های  NTLMv2  از سیستم‌های ویندوز هک شده، کشف شده است.
فعالیت‌های این حمله توسط تیم تهدید ThreatLabz شرکت Zscaler با نام کد "Steal-It" شناسایی شده است.
 

attack

شکل 1- تصویری از فرآیند حمله

ابزار قرمز یک مجموعه از ابزارها، تکنیک‌ها و روش‌های مورد استفاده در امنیت اطلاعات است که برای شناسایی ضعف‌ها و آسیب‌پذیری‌های سیستم‌ها و شبکه‌ها به منظور افزایش سطح امنیت از طریق شبیه‌سازی حملات سایبری استفاده می‌شود. این نوع ابزارها و تکنیک‌ها توسط افراد یا تیم‌های امنیتی با اجازه و اهداف مشخصی تحت عنوان «قرمز تیمینگ» یا «تیم تهاجمی» مورد استفاده قرار می‌گیرند.
هش‌های NTLMv2 (NT Lan Manager version 2) یک نوع رمزنگاری است که در سیستم عامل ویندوز برای احراز هویت و دسترسی کاربران به منابع شبکه استفاده می‌شود. این هش‌ها برای ارسال و دریافت اطلاعات احراز هویت کاربران از سیستم‌های ویندوز به کمک پروتکل NTLM (NT Lan Manager) به‌کار می‌روند.
استفاده از هش‌های NTLMv2 در سیستم‌های ویندوز به عنوان یکی از مکانیزم‌های امنیتی احراز هویت معمولی است. با این حال، مهاجمان ممکن است سعی کنند این هش‌ها را برای حملات خود به‌کار بگیرند. Nishang یک چارچوب و مجموعه‌ای از اسکریپت‌ها و بارهای PowerShell برای امنیت تهاجمی، تست نفوذ و تیم قرمز می‌باشد.
 

attack

شکل 2- تصویری از فرآیند چارچوب

این حملات از یک تا پنج زنجیره آلودگی مختلف بهره می‌برند، اگرچه همه آنها از ایمیل‌های فیشینگ حاوی فایل‌های ZIP به عنوان نقطه شروع برای نفوذ به اهداف خاص با استفاده از تکنیک‌های جغرافیایی بهره‌بری می‌کنند:
- زنجیره آلودگی سرقت هش NTLMv2 که از نسخه سفارشی از اسکریپت PowerShell Start-CaptureServer گفته شده برای جمع‌آوری هش‌های NTLMv2 استفاده می‌کند.
- زنجیره آلودگی سرقت اطلاعات سیستم که با استفاده از ویژگی‌های OnlyFans کاربران را به دانلود یک فایل CMD ترغیب می‌کند که اطلاعات سیستم را برمی‌دارد.
- زنجیره آلودگی Fansly whoami که از تصاویر واضح مدل‌های Fansly برای جلب کاربران به دانلود یک فایل CMD ترغیب می‌کند که نتایج دستور whoami را انتقال می‌دهد.
- زنجیره آلودگی به‌روزرسانی ویندوز که به‌کاربران حمله می‌کند و از اسکریپت‌های جعلی به‌روزرسانی ویندوز طراحی شده برای اجرای دستورات مانند tasklist و systeminfo استفاده می‌کند.

توصیه‌های امنیتی

1. به‌روزرسانی سیستم‌ها: اطمینان حاصل کنید که سیستم‌های شما با آخرین به‌روزرسانی‌ها و پچ‌های امنیتی ارائه‌شده توسط تولیدکنندگان نرم‌افزارها و سیستم‌عامل‌ها به‌روز باشند. این کار به شما کمک می‌کند تا آسیب‌پذیری‌های معروفی که توسط حملات از نوع Steal-It بهره‌برداری می‌شوند، رفع شوند.
2. محدود کردن دسترسی به PowerShell: محدود کردن دسترسی به PowerShell برای کاربران معمولی و تنظیم سیاست‌های اجرای اسکریپت‌ها در PowerShell می‌تواند از اجرای اسکریپت‌های مخرب جلوگیری کند. همچنین، مطمئن شوید که اسکریپت‌های PowerShell فقط از منابع معتبر و امن اجرا می‌شوند.
3. رصد ترافیک شبکه: از رصد ترافیک شبکه با استفاده از ابزارهای امنیتی مختلف مانند SIEM (سیستم مدیریت اطلاعات و رویدادهای امنیتی) و IDS/IPS (سیستم‌های تشخیص نفوذ و جلوگیری از نفوذ) استفاده کنید.
4. توانایی تشخیص اسکریپت‌های مخرب: ابزارهای تشخیص اسکریپت‌های مخرب (مثل Antivirus و EDR) را روی سیستم نصب کنید تا اسکریپت‌های مشکوک را تشخیص داده و جلوی اجرای آن‌ها را بگیرید.

منبع خبر:

https://thehackernews.com/2023/09/cybercriminals-using-powershell-to.html