PowerShell-basierte Malware und Angriffe aufspüren, erkennen und vereiteln

Während herkömmliche Malware und Angriffe auf eigens erstellte ausführbare Dateien angewiesen sind, liegt dateilose Malware im Speicher, um herkömmlichen Scannern und Erkennungsmethoden zu entgehen. PowerShell, ein legitimes Verwaltungstool für Systemadministratoren bietet eine ideale Tarnung für Bedrohungsakteure, bei der Erstellung von Payloads, die stark von einer tiefen Windows-Integration abhängen. Trend Micro hat mehrere Berichte über dieses Methoden veröffentlicht, dessen Verbreitung durch Telemetriedaten weiter validiert wurde.

PowerShell ist eine Skripting-Sprache und eine Befehlszeilen-Shell auf Basis von .NET-Klassen. Sie unterstützt Systemadmins dabei, Aufgaben im Management von Betriebssystemen zu automatisieren. PowerShell ermöglicht einen einfacheren und schnelleren Zugriff auf das Betriebssystem, sodass Administratoren sowohl lokal als auch aus der Ferne Managementaufgaben für ein System wahrnehmen können.

PowerShell als effizienter Angriffsvektor

Mit Viren infizierte Dateien und bösartige Trojaner sind etablierte Malware-Typen, und die Entwickler verfügen über verschiedene defensive Erkennungs- und Abwehrtechniken, um sich dagegen zu wehren. Browser überprüfen heruntergeladene Dateien, Anwendungen benötigen vor der Installation genehmigte Berechtigungen, und Sicherheitssoftware kann Dateien scannen, um sie auf bekannte Signaturen zu überprüfen. Sogar Malware, die über Microsoft Office-Makros kommt, wird durch Standardeinstellungen blockiert, die eine automatische Ausführung nicht mehr zulassen.

Angreifer können dateilose Malware verwenden, um diese Schutzmechanismen zu umgehen, indem sie Payloads in laufende Anwendungen einschleusen oder Skripting einsetzen. PowerShell ist ein idealer Kanal für die Durchführung dieser Angriffe, da die Shell weit verbreitet ist und über das .NET-Framework auf alle Teile eines Hosts zugreifen kann. Darüber hinaus ist es einfach, Skripts zu entwickeln für die Übermittlung von Payloads, und weil PowerShell eine vertrauenswürdige Anwendung ist, kann sie fast immer Skripts ungehindert ausführen.

Bekannte Angriffe und Infektionen mithilfe von PowerShell

Die Ressourcen für die Verwendung und den Missbrauch von PowerShell sind online einfach verfügbar, so dass böswillige Akteure mit mehr oder weniger raffinierten Methoden darauf zurückgreifen. Seit den ersten Berichten 2014 haben Cyberkriminelle verschiedene Kampagnen durchgeführt und dabei zur Infektion der Systeme Techniken des Social Engineering eingesetzt. Sie kombinierten PowerShell mit anderen Exploits oder replizierten offenbar andere Routinen.

Eine der berüchtigten Kompromittierungen über PowerShell stand im Zusammenhang mit der Veröffentlichung interner Emails des US-Demokratischen Nationalkomitees durch die mutmasslich russische Gruppe Pawn Storm im Jahr 2016. Der Equifax-Diebstahl 2017 zeigte deutlich das Ausmass des Schadens, den böswillige Akteure verursachen können, wenn sie PowerShell für den Missbrauch einer nicht gepatchten Schwachstelle nutzen. 2018 verschickte eine weitere Cyberspionagegruppe APT33 Spear Phishing-Mails an Ziele in der Luftfahrt- und Ölindustrie. Die Anhänge führten einen PowerShell-Befehl aus, der Malware herunterlud und Persistenz im Netzwerk des Opfers herstellte.

Eindämmung und Best Practices

Administratoren können lernen, Aktivitäten zu verfolgen, die enttarnten Events und Payloads zu finden, sie zu überwachen und sich mit ihrem Verhalten vertraut zu machen. PowerShell bietet viele Möglichkeiten zur Aktivitätsprotokollierung. Diese Funktionen lassen sich auch dafür nutzen, den Missbrauch dieses Tools zu erkennen, sich dagegen zu wappnen und die Wirkung zu entschärfen. Diese Protokollierungsfunktionen werden über die Active Directory Group Policy für eine unternehmensweite Implementierung aktiviert. Einzelheiten zu der Handhabung der Funktionen finden Interessierte im Originalbeitrag.

Bei Einbrüchen im Zusammenhang mit PowerShell bedarf es einer hohen Anzahl von Ereignissen, um den für die Analyse von Sicherheitsvorfällen erforderlichen Detaillierungsgrad zu erreichen. In einigen Fällen kann ein einzelner PowerShell-Befehl (Cmdlet) über 30 Events erzeugen. Ein Angriff kann grössere Befehle mit Skriptblöcken und Ausführungen beinhalten, die Ereignisse erzeugen, die jeden Sicherheitsanalysten überfordern können.

Bild 1. Beispiel eines PowerShell-Ereignisprotokolls

Das Log Inspection-Modul in Trend Micro™ Deep Security™ kann verschiedene Betriebssystem- und Anwendungs-Logs über die verschiedenen Hosts und Anwendungen im Netzwerk sammeln, analysieren und anreichern. Es ermöglicht die Korrelation zwischen ihnen, um bei der Aufdeckung von Problemen zu helfen. Auch gibt es von Trend Micro die Rule 1010002 – Microsoft PowerShell Command Execution, die der Analyse aller PowerShell-Ereignisse gewidmet ist.

Bedrohungsakteure versuchen auch immer wieder, PowerShell-Befehle zu verschleiern, indem sie sie codieren. Diese lassen sich jedoch aus den generierten Event decodieren, und die PowerShell Log Inspection-Regel entdeckt und charakterisiert das Event entsprechend.

MITRE ATT&CK

Das MITRE ATT&CK-Framework stellt ein unschätzbares Tool für Cybersicherheitsforscher dar. Durch die umfangreiche Datensammlung und Forschung dient das Framework als Verifizierungsmassnahme zur Bewertung von Techniken, die von den böswilligen Gruppen eingesetzt werden, sowie zur Verfolgung der dokumentierten Entwicklungen der Gruppen. PowerShell-Events, die von Deep Security generiert werden, helfen bei der Angriffsanalyse, indem sie eine Klassifizierung gemäss den entsprechenden ATT&CK-Techniken, die durch das Framework definiert sind, zugewiesen bekommen. Die Trend Micro PowerShell-Regel wurde anhand der MITRE 2019 APT 29 Evaluation geprüft und deckt eine grosse Anzahl der Kriterien ab.

Bild 2. Angebotene MITRE ATT&CK Techniken

Fazit

Die Bequemlichkeit, die das PowerShell-Framework bietet, erleichtert zwar die Aufgaben der Systemadministratoren, bietet aber Cyberkriminellen eine grosse Angriffsfläche. Der Missbrauch legitimer Tools und Funktionen wie PowerShell ist nicht neu, aber er wird sich als cyberkriminelle Taktik in Kombination mit anderen Techniken weiter entwickeln. Dateilose Bedrohungen über PowerShell sind zwar nicht so sichtbar wie herkömmliche Malware und Angriffe, aber sie lassen sich verhindern. Zu allen Themen liefert der Originalbeitrag weitere Einzelheiten sowie Anleitungen für Systemadministratoren.

Auch „traditionelle“ Best Practices, wie etwa Updaten und Patchen von Systemen, helfen gegen diese Angriffe. Aber die sich weiter entwickelnden Sicherheitstechnologien, die eine generationsübergreifende und vernetzte Verteidigung einsetzen, sowie die Entwicklung einer Kultur der Sicherheit und des Sicherheitsbewusstseins bei den Anwendern ermöglichen es IT-Managern und Administratoren, sich dagegen zu verteidigen.

Trend Micro-Lösungen

Trend Micro™ Deep Security™ kann Systeme und Nutzer vor Malware und Angriffen über PowerShell schützen. Die Lösung bietet Netzwerk- und Systemsicherheit, und in Kombination mit Vulnerability Protection kann die Lösung Nutzersysteme vor einer Vielfalt aufkommender Bedrohungen, die Schwachstellen missbrauchen, schützen.

Smart Protection Suites beinhaltet einige Fähigkeiten wie High-Fidelity Machine Learning und Webreputations-Services, die die Auswirkung von persistenten, dateilosen Bedrohungen minimieren. Trend Micro Apex One™ nutzt eine Vielfalt von Erkennungstechniken sowie Verhaltensanalyse, um gegen bösartige Skripts, Einschleusen, Ransomware, Memory- und Browser-Angriffe zu schützen.

Zusätzlich bietet Apex One Endpoint Sensor kontextspezifische Endpunkt-Erkennung und Reaktion (EDR), die Ereignisse überwacht und Prozesse oder Ereignisse mit böswilligen Aktivitäten schnell untersucht. Trend Micro Deep Discovery umfasst einen Email Inspection-Layer, der bösartige Anhänge und URLs erkennen kann. Die Lösung entdeckt Remote-Skripts, auch wenn diese nicht auf den physischen Endpunkt heruntergeladen werden.