PowerShell backdoor στα Windows (0day)

Ερευνητές ασφαλείας από την SafeBreach ανακάλυψαν πρόσφατα ένα άγνωστο μέχρι τότε backdoor στα Windows. Χρησιμοποιεί ένα κακόβουλο έγγραφο του Word για την εισαγωγή των PowerShell scripts.

Το backdoor μπορεί να επηρεάσει χρήστες της υπηρεσίας Active και απομακρυσμένων υπολογιστών (remote ).

0day bw

Οι λεπτομέρειες υπάρχουν στην δημοσίευση SafeBreach Labs Researchers Uncover New Fully Undetectable PowerShell Backdoor. Το backdoor έχει ορισμένα ειδικά χαρακτηριστικά.

Στις 25 Αυγούστου του 2022, διανεμήθηκε για πρώτη φορά ένα κακόβουλο έγγραφο του Word Apply Form.docm. Το έγγραφο του Word περιείχε έναν κώδικα μακροεντολής () που ξεκινούσε ένα άγνωστο PowerShell script.

Η μακροεντολή κατέβαζε το αρχείο .vbs στο σύστημα του θύματος και δημιουργούσε μια προγραμματισμένη εργασία στα Windows που προσποιούνταν ότι είναι μέρος μιας ενημέρωσης των Windows.

Στη συνέχεια, αυτή η προγραμματισμένη εργασία έτρεχε το script updater.vbs από το φάκελο “%appdata%\local\Microsoft\Windows”. Ωστόσο, αυτή η διαδικασία απαιτεί διαχειριστικές άδειες.
Στη συνέχεια, το updater.vbs script έτρεχε ένα PowerShell script.

Πριν από την εκτέλεση της προγραμματισμένης εργασίας, δημιουργούνται PowerShell script με τα ονόματα Script.ps1 και Temp.ps1. Τα περιεχόμενα των PowerShell scripts αποθηκεύονται σε πεδία κειμένου μέσα στο έγγραφο του Word και στον κατάλογο appdata που δημιουργείται. Και τα δύο script δεν εντοπίζονται σαν κακόβουλα από την Virustotal.

Το πρώτο PowerShell Script1.ps1 συνδέεται με ένα διακομιστή C2 για να λάβει εντολές για εκτέλεση. Αναλύει τις εντολές και τρέχει το Temp.ps1 για κάθε εντολή με την παράμετρο c.

Οι ασφαλείας κατάφεραν να τρέξουν συγκεκριμένες εντολές στα συστήματα των θυμάτων και μπόρεσαν να:

ανακτήσουν λίστες διεργασιών
απαριθμήσουν τους τοπικούς χρήστες
απαριθμήσουν αρχεία σε συγκεκριμένους φακέλους
απαριθμήσουν συνδέσεις σε Active Director και RDP

iGuRu.gr The Best Technology Site in Greecefgns

Get the best viral stories straight into your inbox!
0day,powershell,backdoor

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).