Un nouveau script de malware PowerShell nommé « PowerDrop » a été découvert pour être utilisé dans des attaques ciblant l’industrie américaine de la défense aérospatiale.

PowerDrop a été découvert par Adlumin, qui a trouvé le mois dernier un échantillon du logiciel malveillant dans le réseau d’un sous-traitant de la défense aux États-Unis.

La société rapporte que PowerDrop utilise PowerShell et WMI (Windows Management Instrumentation) pour créer un RAT persistant (cheval de Troie d’accès à distance) sur les réseaux piratés.

Les tactiques de fonctionnement du logiciel malveillant se situent entre les logiciels malveillants « prêts à l’emploi » et les techniques APT avancées, tandis que le calendrier et les cibles suggèrent que l’agresseur est probablement parrainé par l’État.

Détails de l’attaque PowerDrop
Adlumin a identifié PowerDrop à l’aide d’une détection d’apprentissage automatique qui examine le contenu d’exécution des scripts PowerShell ; cependant, la chaîne d’infection ou la compromission initiale est inconnue.

Les analystes supposent que les attaquants ont peut-être déployé le script à l’aide d’un exploit, d’e-mails de phishing vers des cibles ou d’usurpation de sites de téléchargement de logiciels.

PowerDrop est un script PowerShell exécuté par le service Windows Management Instrumentation (WMI) et encodé à l’aide de Base64 pour fonctionner comme une porte dérobée ou RAT.

En examinant les journaux système, les chercheurs ont découvert que le script malveillant était exécuté à l’aide de filtres d’événements WMI précédemment enregistrés et de consommateurs nommés « SystemPowerManager », créés par le logiciel malveillant lors de la compromission du système à l’aide de l’outil de ligne de commande « wmic.exe ».

WMI est une fonctionnalité Windows intégrée qui permet aux utilisateurs d’interroger des ordinateurs locaux ou distants pour obtenir diverses informations. Dans ce cas, il est abusé de déclencher des requêtes de commande PowerShell pour les mises à jour d’une classe de surveillance des performances.

La classe particulière est fréquemment mise à jour avec des informations liées aux performances telles que les processus, les threads, les appels système/sec et la longueur de la file d’attente. Il est donc peu probable que le déclenchement d’un événement malveillant toutes les deux minutes suscite des soupçons.

« Le filtre d’événements WMI est déclenché lorsque la classe WMI est mise à jour, ce qui déclenche alors l’exécution du script PowerShell », explique Adlumin dans le rapport.

« Le déclenchement par le filtre est limité à une fois toutes les 120 secondes tant que la classe WMI a été mise à jour. »

Une fois que le script PowerDrop est actif, il envoie un écho ICMP codé en dur à son adresse de serveur C2, signalant qu’une nouvelle infection est active.

La charge utile du déclencheur ICMP est une chaîne encodée UTF16-LE non masquée, qui aide l’infrastructure C2 à la distinguer des sondes aléatoires.

Une fois la balise envoyée au serveur C2, le logiciel malveillant attend pendant 60 secondes une réponse du C2, généralement une charge utile cryptée et rembourrée contenant une commande à exécuter.

Le logiciel malveillant déchiffre la charge utile envoyée à l’aide d’une clé AES 128 bits codée en dur et d’un vecteur d’initialisation 128 bits et exécute la commande contenue sur l’hôte.

Ensuite, PowerDrop renvoie les résultats de l’exécution de la commande au serveur C2, et s’ils sont trop volumineux, il les divise en morceaux de 128 octets transmis dans un flux de plusieurs messages.

Adlumin conclut que PowerShell et WMI, combinés au fait que PowerDrop ne touche jamais le disque en tant que fichier de script « .ps1 », le rendent particulièrement furtif.

Ses communications sont cryptées AES, le protocole ICMP utilisé pour sa signalisation par balise est courant dans les communications réseau et l’intervalle de 120 secondes entre le trafic réseau malveillant réduit la probabilité de détection.

Les organisations, en particulier celles de l’industrie de la défense aérospatiale, doivent rester vigilantes face à cette menace, en surveillant l’exécution de PowerShell et en recherchant une activité WMI inhabituelle.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *