“用指尖改变世界”
Palo Alto Networks公司警告说,自2017年4月以来,一种恶意工具已经成为人们关注的焦点之一。这主要原因是由于它采用了相当独特技术来混淆它的PowerShell脚本,这种技术是其他工具所没有的。
工具名为“PowerStager”,在2017年12月左右,其在实际攻击活动中的使用率有所上升。
PowerStager的核心是一个Python脚本,它使用C源代码生成Windows可执行文件,然后利用多层模糊处理启动PowerShell脚本,最终目标是执行shellcode有效载荷。PowerStager有很多配置选项,使其具有相当大的灵活性。以下是代码中列出的一些配置选项:
能够选择目标平台(x86或x64);
能够在默认值之上使用额外的模糊处理;
能够显示社交工程的自定义错误消息/可执行图标;
能够使用Meterpreter或其他内置的shellcode有效载荷;
能够获取远程载荷或将其嵌入到可执行文件中;
能够使用UAC升级权限。
PowerStager的执行流程如下图所示:
截至2017年12月29日,Palo Alto Networks已经在世纪攻击活动中观察到了502个独特的PowerStager样本,主要针对西欧媒体和批发商。研究人员解释说,也有大量样本被用于测试和销售时的概念验证演示。
Palo Alto Networks的安全专家Jeff White还发现PowerStager在构建样本时定义的某些属性可以用于追踪它们。尽管,生成的不同样本存在属性特征上的差异,它们都拥有各自独特的属性,但事实证明对追踪来说是某些属性是有用,尤其是在动态分析过程中加上独特的混淆和PowerShell方法时尤其如此。
“虽然这不是最先进的工具集,其也使得我们在尝试混淆和动态检测时遇到了很多麻烦。PowerStager已经涵盖了许多混淆和灵活性的基础,即使迄今为止还没有看到太多的使用。然而,它的确正在崛起,我们会在它的发展中保持关注。”White总结道。
本文由黑客视界综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。