Este nuevo malware de criptojacking de doble carga puede deshabilitar la interfaz de escaneo antimalware de Windows e inyectarse directamente en la memoria de procesos legítimos.
Junto con el ransomware , el malware de minería de criptomonedas es una de las amenazas más comunes para los sistemas empresariales. Al igual que con el ransomware, la sofisticación de los criptomineros ha crecido a lo largo de los años, incorporando vectores de ataque y técnicas como la ejecución sin archivos, la compilación en tiempo de ejecución y la inyección de código reflexivo que alguna vez se asociaron con amenazas persistentes avanzadas (APT) .
Investigadores de la firma de seguridad Deep Instinct se han encontrado recientemente con una infección por criptominer en los sistemas de una gran empresa con sede en Asia en la industria de la aviación. El ataque, que implementó un nuevo minero de criptomonedas Monero, usó PowerShell, inyección reflectante de PE, compilación de código en tiempo de ejecución y Tor para el anonimato.
El malware llegó como un script codificado de PowerShell que, cuando se ejecuta, configura una tarea programada para ejecutarse en la configuración del sistema e inicia un segundo comando codificado de PowerShell. Esta carga secundaria utilizaba un módulo llamado Invoke-ReflectivePEInjection de PowerSploit y PowerShell Empire, dos marcos de explotación basados en PowerShell, para extraer el código almacenado en el registro e inyectarlo en su propio proceso de ejecución.
“Si bien la compilación en tiempo de ejecución no es nueva, se está volviendo cada vez más frecuente con la creciente popularidad de los ataques sin archivos, y puede tener ciertas ventajas para un atacante, como evitar algunos de los mecanismos de protección de PowerShell”, el Deep Instinct Los investigadores dijeron en un nuevo informe .
Almacenar código malicioso dentro del registro en lugar de un archivo en el disco, y luego inyectarlo directamente en la memoria de procesos legítimos es una técnica que se utilizó por primera vez en los ataques APT para evadir la detección de antivirus. Dichas tácticas de ejecución sin archivos ahora son comunes para una variedad de amenazas de malware, incluido el ransomware.
En este caso, el código almacenado dentro del registro del sistema constaba de dos archivos .DLL, uno para sistemas de 32 bits y otro para sistemas de 64 bits, que implementaron un programa de minería Monero. Una vez cargado, el cryptominer inicia las comunicaciones con una serie de nodos Tor, que probablemente sirvan como servidores proxy de anonimato para ocultar la ubicación real de sus piscinas mineras.
“Durante los últimos dos años, el malware de criptominería ha estado en constante aumento, presentando niveles cada vez mayores de sofisticación, utilizando técnicas avanzadas sin archivos para atacar objetivos en entornos empresariales”, dijeron los investigadores de Deep Instinct. “Si bien el análisis y la investigación de este malware aún están en curso, a la luz de los hallazgos mencionados anteriormente, estamos razonablemente convencidos de que se trata de una nueva y sofisticada variante de criptominer, bastante distinguible de otros malware previamente documentados de este tipo”.
Defensa contra ataques de PowerShell
PowerShell es una herramienta de administración de sistemas potente y útil, pero se ha convertido en un vector de ataque ampliamente utilizado en los últimos años , por lo que es imperativo que las empresas limiten su uso en sistemas donde no es necesario o, al menos, le agreguen capacidades de registro y detección. .
Microsoft recomienda usar PowerShell versión 5, que tiene las características de registro más avanzadas de todas las versiones de PowerShell. Desafortunadamente, incluso después de instalar la versión 5, PowerShell versión 2 permanecerá en el sistema y permitirá ataques de degradación, por lo que los administradores del sistema deben asegurarse de eliminar esta versión anterior de sus sistemas.
PowerShell también se puede configurar en lo que se denomina modo de lenguaje restringido si los usuarios del sistema no necesitan toda su potencia. Para administrar servidores remotos, se puede utilizar un modo de shell limitado conocido como Just Enough Administration (JEA).
Otras mitigaciones efectivas incluyen la configuración de PowerShell para permitir solo la ejecución de scripts firmados digitalmente y el uso de la función AppLocker de Windows 10 para validar los scripts antes de que se puedan ejecutar.
Finalmente, si PowerShell no es necesario en un sistema, se puede eliminar por completo. Esto ofrecerá la mejor protección, pero rara vez es práctico porque la herramienta a menudo se necesita para automatizar las tareas de administración del sistema.
