多くの攻撃者は引き続き PowerShell をマルウェア エコシステムの一部として利用しており、そのほとんどは悪意のあるバイナリやドキュメントによって配信および実行されています。 PowerShell を使用するマルウェアのうち、最も一般的な用途はさまざまなステージャーです。これは、PowerShell を起動して別の実行可能ファイルをダウンロードして実行する実行可能ファイルまたはドキュメント マクロです。攻撃的な PowerShell 技術の分野では、重要な開発と革新が行われています。防御側と製品はPowerShell の可視性を高め、検出を改善しましたが、攻撃的な PowerShell コミュニティは、署名ベースの検出を回避するためにツールを適応させました。この対応の一部は、コンテンツの難読化の使用の増加によってもたらされました。これは、従来のマルウェア作成者によってバイナリ レベルとコンテンツ レベルの両方で長い間採用されてきた手法です。
Black Hat USA 2017 で最初に発表されたRevoke-Obfuscation ホワイト ペーパーでは、実際に見られる難読化された PowerShell 攻撃の背景と、防御的な緩和とログ記録のベスト プラクティスについて説明します。次に、攻撃者が PowerShell スクリプトを起動し、スクリプトに含まれるコマンドを短縮および複雑化し、文字列を操作し、防御者を回避するために代替手段やあいまいな方法を使用するために利用できる難読化の多くの層を調査することにより、静的検出の非効率性を主張します。次に、忠実度の高い難読化検出のフレームワークを構築するために、難読化された PowerShell 属性を解釈、分類、処理するための独自のアプローチをいくつか紹介します。私たちの調査をサポートするために、公開されているものと以前は入手できなかったものの両方の膨大なソースから、408,000 のスクリプト (手動でレビューされ、ラベル付けされた 7,000 のスクリプトを含む) で構成される前例のない PowerShell データ コーパスを収集しました。 PowerShell データ コーパスのリリースに加えて、セキュリティ コミュニティが PowerShell スクリプトの難読化を大規模に分類するのを支援するために、多数の Mandiant 調査で使用されている Revoke -Obfuscation フレームワークをリリースしました。
今 すぐ Revoke-Obfuscation のホワイト ペーパーをダウンロードし、 Black Hat USA 2017 のプレゼンテーションもご覧ください。
Revoke-Obfuscation は、Mandiant/FireEye のシニア アプライド セキュリティ リサーチャーである Daniel Bohannon ( @danielhbohannon ) と、 Microsoftの Azure Management のリード セキュリティ アーキテクトであるLee Holmes (@Lee_Holmes ) との間の業界調査コラボレーションの成果です。
参照: https://www.mandiant.com/resources/blog/revoke-obfuscation-powershell
Comments