קבוצת התקיפה APT29 פיתחה דלת אחורית חשאית 'חסרת קבצים'
עמי רוחקס דומבה
| 04/04/2017
http://www.newsfactor.com/story.xhtml?story_id=13300EUPON2F
Mandiant בחנה את השימוש של קבוצת התקיפה APT29 בדלת אחורית חשאית בשם POSHSPY. השימוש בשיטה זו בוצע על ידי הקבוצה בשנתיים האחרונות.
POSHSPY ממנפת שני כלים המשמשים את הקבוצה לעתים קרובות: PowerShell ו- Windows WMI. בחקירות שנערכו על ידי Mandiant, נראה כי APT29 פרסה את POSHSPY כדלת אחורית משנית לשימוש, אם הם יאבדו את הגישה לדלתות האחוריות הראשיות.
השימוש של POSHSPY ב- WMI גם לאחסון וגם לשרידות קוד הדלת האחורית עושה אותה כמעט בלתי נראית לכל מי שאינו מכיר את המורכבות של WMI. השימוש ב-PowerShell פירושו שרק תהליכי מערכת לגיטימיים מנוצלים וכי ניתן לבצע זיהוי קוד זדוני רק באמצעות רישום לוג מורחב או בזיכרון.
WMI היא מסגרת ניהולית אשר מובנית בתוך כל גרסה של Windows מאז שנת 2000. WMI מספקת יכולות ניהוליות רבות על מערכות מקומיות ומרוחקות, כולל מידע על שאילתות המערכת, הפעלה ועצירה של תהליכים וקביעת גורמים מותנים.
"שמנו לב ש-APT29 משתמשת ב-WMI כדי לאחסן ולהשריד את קוד ה-PowerShell של הדלת האחורית. כדי לאחסן את הקוד, APT29 יצרה מחלקה חדשה ב-WMI והוסיפה אליה את הקוד כערך מחרוזת. את הקוד המוצפן וקוד ה-base64 קבוצת APT29 הכניסה לתוך הנכס הזה.", כתבו החוקרים בחברת פייראיי.
מקור: fireeye.com
Mandiant בחנה את השימוש של קבוצת התקיפה APT29 בדלת אחורית חשאית בשם POSHSPY. השימוש בשיטה זו בוצע על ידי הקבוצה בשנתיים האחרונות.
POSHSPY ממנפת שני כלים המשמשים את הקבוצה לעתים קרובות: PowerShell ו- Windows WMI. בחקירות שנערכו על ידי Mandiant, נראה כי APT29 פרסה את POSHSPY כדלת אחורית משנית לשימוש, אם הם יאבדו את הגישה לדלתות האחוריות הראשיות.
השימוש של POSHSPY ב- WMI גם לאחסון וגם לשרידות קוד הדלת האחורית עושה אותה כמעט בלתי נראית לכל מי שאינו מכיר את המורכבות של WMI. השימוש ב-PowerShell פירושו שרק תהליכי מערכת לגיטימיים מנוצלים וכי ניתן לבצע זיהוי קוד זדוני רק באמצעות רישום לוג מורחב או בזיכרון.
WMI היא מסגרת ניהולית אשר מובנית בתוך כל גרסה של Windows מאז שנת 2000. WMI מספקת יכולות ניהוליות רבות על מערכות מקומיות ומרוחקות, כולל מידע על שאילתות המערכת, הפעלה ועצירה של תהליכים וקביעת גורמים מותנים.
"שמנו לב ש-APT29 משתמשת ב-WMI כדי לאחסן ולהשריד את קוד ה-PowerShell של הדלת האחורית. כדי לאחסן את הקוד, APT29 יצרה מחלקה חדשה ב-WMI והוסיפה אליה את הקוד כערך מחרוזת. את הקוד המוצפן וקוד ה-base64 קבוצת APT29 הכניסה לתוך הנכס הזה.", כתבו החוקרים בחברת פייראיי.
מקור: fireeye.com
