یک حمله سایبری جدید از اسکریپت PowerShell مرتبط با یک ابزار مورد استفاده تیم قرمز برای دزدیدن هشهای NTLMv2 از سیستمهای ویندوز هک شده، کشف شده است.
فعالیتهای این حمله توسط تیم تهدید ThreatLabz شرکت Zscaler با نام کد "Steal-It" شناسایی شده است.
شکل 1- تصویری از فرآیند حمله
ابزار قرمز یک مجموعه از ابزارها، تکنیکها و روشهای مورد استفاده در امنیت اطلاعات است که برای شناسایی ضعفها و آسیبپذیریهای سیستمها و شبکهها به منظور افزایش سطح امنیت از طریق شبیهسازی حملات سایبری استفاده میشود. این نوع ابزارها و تکنیکها توسط افراد یا تیمهای امنیتی با اجازه و اهداف مشخصی تحت عنوان «قرمز تیمینگ» یا «تیم تهاجمی» مورد استفاده قرار میگیرند.
هشهای NTLMv2 (NT Lan Manager version 2) یک نوع رمزنگاری است که در سیستم عامل ویندوز برای احراز هویت و دسترسی کاربران به منابع شبکه استفاده میشود. این هشها برای ارسال و دریافت اطلاعات احراز هویت کاربران از سیستمهای ویندوز به کمک پروتکل NTLM (NT Lan Manager) بهکار میروند.
استفاده از هشهای NTLMv2 در سیستمهای ویندوز به عنوان یکی از مکانیزمهای امنیتی احراز هویت معمولی است. با این حال، مهاجمان ممکن است سعی کنند این هشها را برای حملات خود بهکار بگیرند. Nishang یک چارچوب و مجموعهای از اسکریپتها و بارهای PowerShell برای امنیت تهاجمی، تست نفوذ و تیم قرمز میباشد.
شکل 2- تصویری از فرآیند چارچوب
این حملات از یک تا پنج زنجیره آلودگی مختلف بهره میبرند، اگرچه همه آنها از ایمیلهای فیشینگ حاوی فایلهای ZIP به عنوان نقطه شروع برای نفوذ به اهداف خاص با استفاده از تکنیکهای جغرافیایی بهرهبری میکنند:
- زنجیره آلودگی سرقت هش NTLMv2 که از نسخه سفارشی از اسکریپت PowerShell Start-CaptureServer گفته شده برای جمعآوری هشهای NTLMv2 استفاده میکند.
- زنجیره آلودگی سرقت اطلاعات سیستم که با استفاده از ویژگیهای OnlyFans کاربران را به دانلود یک فایل CMD ترغیب میکند که اطلاعات سیستم را برمیدارد.
- زنجیره آلودگی Fansly whoami که از تصاویر واضح مدلهای Fansly برای جلب کاربران به دانلود یک فایل CMD ترغیب میکند که نتایج دستور whoami را انتقال میدهد.
- زنجیره آلودگی بهروزرسانی ویندوز که بهکاربران حمله میکند و از اسکریپتهای جعلی بهروزرسانی ویندوز طراحی شده برای اجرای دستورات مانند tasklist و systeminfo استفاده میکند.
توصیههای امنیتی
1. بهروزرسانی سیستمها: اطمینان حاصل کنید که سیستمهای شما با آخرین بهروزرسانیها و پچهای امنیتی ارائهشده توسط تولیدکنندگان نرمافزارها و سیستمعاملها بهروز باشند. این کار به شما کمک میکند تا آسیبپذیریهای معروفی که توسط حملات از نوع Steal-It بهرهبرداری میشوند، رفع شوند.
2. محدود کردن دسترسی به PowerShell: محدود کردن دسترسی به PowerShell برای کاربران معمولی و تنظیم سیاستهای اجرای اسکریپتها در PowerShell میتواند از اجرای اسکریپتهای مخرب جلوگیری کند. همچنین، مطمئن شوید که اسکریپتهای PowerShell فقط از منابع معتبر و امن اجرا میشوند.
3. رصد ترافیک شبکه: از رصد ترافیک شبکه با استفاده از ابزارهای امنیتی مختلف مانند SIEM (سیستم مدیریت اطلاعات و رویدادهای امنیتی) و IDS/IPS (سیستمهای تشخیص نفوذ و جلوگیری از نفوذ) استفاده کنید.
4. توانایی تشخیص اسکریپتهای مخرب: ابزارهای تشخیص اسکریپتهای مخرب (مثل Antivirus و EDR) را روی سیستم نصب کنید تا اسکریپتهای مشکوک را تشخیص داده و جلوی اجرای آنها را بگیرید.
منبع خبر:
https://thehackernews.com/2023/09/cybercriminals-using-powershell-to.html
- 109