هکرها در این سری حملات، از PowerShell و ابزارهای Open-Source مانند Mimikatz و Meterpreter استفاده کردهاند که مستقیما بر روی حافظه اجرا میشوند.
احتمال میرود مسئول حملات چند ماه گذشته که تا حد زیادی متکی بر PowerShell، ابزارهای Open-Source و تکنیکهای مرتبط با بدافزارهای Fileless بوده است، تنها گروه خاصی از هکرها بوده باشند.
پس از بررسی ها و تحقیقات بدست آمده از موسسات امنیتی درمورد حملات Email Phishing اخیر، که چندین سازمان معروف را مورد هدف قرار داده بود، مشخص گردید که یک گروه مهاجم این فعالیتها را انجام میدهند و این گروه از همان تکنیکهایی استفاده میکند که طی دو ماه گذشته توسط موسسات امنیتی گوناگون و در گزارشات پراکنده ثبت شده است.
در پی این بررسیها، چارچوب یک حملهی پیچیده و Fileless کشف شده است که ظاهرا با سلسه فعالیتهای گوناگون و بحثبرانگیز اخیر در ارتباط بوده است. بر اساس یافتههای تیمهای تحقیقاتی، تنها یک گروه خاص از مهاجمان، مسئول بسیاری از پیچیدهترین حملات علیه موسسات مالی، سازمانهای دولتی و شرکتها در دو ماه گذشته به شمار میروند.
بررسیهای محققان پس از آن آغاز شد که طی حملات Phishing Email، یک فایل Word حاوی Macroهای مخرب منتشر گردید. قربانیان پس از بازکردن ایمیل با پیامی روبرو میشدند که برای نمایش محتوایی به ظاهر محافظتشده تقاضای کلیک برروی گزینهی Enable Content را مینمود و پس از اجرای این درخواست کد مخربِ جاسازیشده در آن فعال میگردد.
از این مرحله به بعد این حمله از Scriptهای متوالی PowerShell استفاده میکند تا به این وسیله دربرابر Registry Keyها ایجاد مقاومت نموده و یک کانال ارتباطی با سرور مهاجم برقرار سازد. سپس مهاجمان ابزارهای Open-Source مختلف مورد نظر خود را دانلود و اجرا میکنند که به وسیلهی آن محدودهی جستجوی سیستم قربانی را عمیقتر کرده و Credentialهایی را که به صورت Local ذخیره شده میرباید و ارتباط Reverse Shell را به سمت سرور خود باز میکنند.
برخی از ابزارهای به کارگرفته شده در این حملات شامل Mimikatz، Lazagne و Meterpreter میباشند که از ابزارهای موجود در Metasploit (چارچوب پرطرفدار تست نفوذ) به حساب میآیند. این برنامهها مستقیما در حافظه کامپیوتر بارگذاری شده و ردی برروی دیسک باقی نمیگذارند.
چندی پیش نیز Kaspersky از سری حملات پنهانی و Fileless علیه بیش از 100 سازمان و بانک در سراسر جهان گزارش داد. این حملات از تکنیکها و ابزارهای کاملا مشابهی از جمله PowerShell، Mimikatz و Meterpreter استفاده کردهاند.
در این حملات مهاجمان از یک PowerShell Script استفاده میکنند که با به کارگیری TXT رکوردهای DNS اقدام به ایجاد یک کانال ارتباطی دوطرفه میکند. شرکت Cisco نیز اسکریپت مشابهی در حملات ثبت نموده است که آن را DNSMessenger نامیدهاند.
شرکت FireEye درمورد حملاتی که کارکنان حوزهی ثبت اسناد بورس و اوراق بهادار در سازمانهای مختلف امریکا را هدف قرار داده و در خصوص تکنیکهای حملات Fileless و روشهای مبتنی بر DNS در این حملات، توضیحاتی ارائه داده است. این شرکت حملات فوق را با یک گروه از مهاجمان با اهداف مالی مرتبط میداند که مدتها تحت عنوان FIN7، مورد پیگرد این شرکت قرار داشته است.
هرچند محققان موفق به تشخیص هویت این گروه نشدند، اما برای مدتی کوتاه شاهد تبادلات ارتباطی از سوی یکی از اعضای گروه بودهاند. یکی از اعضای این گروه در طول Session و انتظار برای ارتباطِ Meterpreter با سیستم قربانی، تا حدودی بسیار زیادی در دسترس قرار گرفته است اما علیرغم تلاش محققان برای بهرهبرداری از این فرصت و شناسایی هویت وی، گروه بلافاصله ارتباط را مسدود کرده و سرور C2 را نیز به طور کامل از کار انداخته است تا ارتباط بین سیستم قربانی و سرور مهاجمان از بین رفته و ردیابی غیرممکن گردد.
با در نظرگرفتن حملات صورتگرفته و خطرات پیش رو به سازمانها توصیه میگردد که سیستمهای مانیتورینگ مختلفی که میتواند بر کارکرد ابزارهای دومنظورهای همچون Mimikatz و Meterpreter نظارت نماید را به کار گیرند. همچنین باید PowerShell Scriptهای بدون مجوز و کدهایی که به طور مستقیم در حافظه اجرا میشوند و اثری در دیسک بر جا نمیگذارند، نیز بررسی گردند.
