Обнаружен сложный PowerShell-скрипт-дроппер с функцией скрытного обхода защиты
В ходе регулярного анализа вредоносных программ был выявлен опасный скрипт-дроппер на базе PowerShell, который поставляется с вредоносного домена управления (C2). Этот инструмент предназначен для обхода системных средств безопасности и дальнейшего развертывания вредоносных компонентов, таких как SectopRAT и HiJack Loader – двух известных вредоносных программ, используемых для кражи данных и контроля над заражённой системой.
Механизм работы вредоносного дроппера
Скрипт функционирует многоэтапно, последовательно выполняя ряд задач, направленных на:
- Обход встроенной защиты — благодаря созданию исключений в Windows Defender, которые распространяются на весь диск C и два часто атакуемых процесса;
- Доставку вредоносного ПО — для этого скрипт загружает архивы с метками NC.zip и RD.zip, из которых извлекается и запускается файл S-D.exe;
- Разведку — производится сбор критичных данных, таких как внешний IP-адрес и имя пользователя жертвы;
- Проверку устойчивости — проверяется наличие запланированной задачи «MSSecurity» в планировщике задач Windows;
- Отчистку следов — по завершении своей деятельности скрипт удаляет все загруженные файлы, результаты разведки и даже себя, чтобы избежать обнаружения.
Особенности и цели вредоносного ПО
PowerShell-сценарий действует как загрузчик первого этапа, подготавливая систему для последующих атак за счёт развертывания дополнительных вредоносных компонентов. Создание исключений в защитнике Windows — это особый приём, направленный на максимальное снижение риска блокировки и отслеживания вредоносной активности.
Особенно важно отметить, что дроппер не только доставляет и запускает вредоносные программы, но и активно собирает разведывательную информацию о системе жертвы. Запись результатов этой рекогносцировки в файл result.txt свидетельствует о системном подходе к организации будущих этапов атак.
Актуальные вызовы и рекомендации
Использование таких многоэтапных сценариев подчёркивает возрастающую сложность современных киберугроз. Тактики уклонения, сбора информации и последующей очистки делают традиционные методы обнаружения всё менее эффективными.
Эксперты рекомендуют предпринять следующие меры для повышения безопасности:
- Регулярно обновлять антивирусное программное обеспечение и системы обнаружения угроз с учётом новых тактик злоумышленников;
- Внимательно отслеживать и анализировать изменения в конфигурациях Windows Defender, в частности появление исключений;
- Мониторить системные задачи на предмет подозрительных или неизвестных элементов, таких как «MSSecurity»;
- Обучать сотрудников правильным практикам безопасности для минимизации риска заражения.
Таким образом, данный отчет демонстрирует, насколько современное вредоносное ПО гибко и ориентировано на избегание обнаружения, подчеркивая необходимость комплексного подхода к кибербезопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ PowerShell-дроппера: тактики обхода и эксфильтрации данных".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.