Анализ PowerShell-дроппера: тактики обхода и эксфильтрации данных

Обнаружен сложный PowerShell-скрипт-дроппер с функцией скрытного обхода защиты

В ходе регулярного анализа вредоносных программ был выявлен опасный скрипт-дроппер на базе PowerShell, который поставляется с вредоносного домена управления (C2). Этот инструмент предназначен для обхода системных средств безопасности и дальнейшего развертывания вредоносных компонентов, таких как SectopRAT и HiJack Loader – двух известных вредоносных программ, используемых для кражи данных и контроля над заражённой системой.

Механизм работы вредоносного дроппера

Скрипт функционирует многоэтапно, последовательно выполняя ряд задач, направленных на:

• Обход встроенной защиты — благодаря созданию исключений в Windows Defender, которые распространяются на весь диск C и два часто атакуемых процесса;
• Доставку вредоносного ПО — для этого скрипт загружает архивы с метками NC.zip и RD.zip, из которых извлекается и запускается файл S-D.exe;
• Разведку — производится сбор критичных данных, таких как внешний IP-адрес и имя пользователя жертвы;
• Проверку устойчивости — проверяется наличие запланированной задачи «MSSecurity» в планировщике задач Windows;
• Отчистку следов — по завершении своей деятельности скрипт удаляет все загруженные файлы, результаты разведки и даже себя, чтобы избежать обнаружения.

Особенности и цели вредоносного ПО

PowerShell-сценарий действует как загрузчик первого этапа, подготавливая систему для последующих атак за счёт развертывания дополнительных вредоносных компонентов. Создание исключений в защитнике Windows — это особый приём, направленный на максимальное снижение риска блокировки и отслеживания вредоносной активности.

Особенно важно отметить, что дроппер не только доставляет и запускает вредоносные программы, но и активно собирает разведывательную информацию о системе жертвы. Запись результатов этой рекогносцировки в файл result.txt свидетельствует о системном подходе к организации будущих этапов атак.

Актуальные вызовы и рекомендации

Использование таких многоэтапных сценариев подчёркивает возрастающую сложность современных киберугроз. Тактики уклонения, сбора информации и последующей очистки делают традиционные методы обнаружения всё менее эффективными.

Эксперты рекомендуют предпринять следующие меры для повышения безопасности:

• Регулярно обновлять антивирусное программное обеспечение и системы обнаружения угроз с учётом новых тактик злоумышленников;
• Внимательно отслеживать и анализировать изменения в конфигурациях Windows Defender, в частности появление исключений;
• Мониторить системные задачи на предмет подозрительных или неизвестных элементов, таких как «MSSecurity»;
• Обучать сотрудников правильным практикам безопасности для минимизации риска заражения.

Таким образом, данный отчет демонстрирует, насколько современное вредоносное ПО гибко и ориентировано на избегание обнаружения, подчеркивая необходимость комплексного подхода к кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.