One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8561044 |
| Date de publication | 2024-08-20 20:33:25 (vue: 2024-08-20 21:18:22) |
| Titre | Aimez-vous les beignets;Voici un Donut Shellcode livré via PowerShell / Python Do you Like Donuts; Here is a Donut Shellcode Delivered Through PowerShell/Python |
| Texte | ## Instantané Des chercheurs de Sans Technology Institute ont identifié une nouvelle menace qui invoque un script PowerShell dans une chaîne d'attaque qui télécharge finalement Donut Shellcode.Le shellcode est capable d'injecter des charges utiles malveillantes dans des processus Windows arbitraires. ## Description L'attaque commence par un petit fichier .bat nommé 3650.bat, qui invoque initialement un script PowerShell pour télécharger et déballer une série d'archives zip.La recherche ne spécifie pas le mécanisme de livraison initial de ce fichier.Les archives ZIP contiennent un environnement Python complet avec les bibliothèques requises pour exécuter l'étape suivante.L'étape suivante consiste à télécharger et à exécuter un script Python obscurci. Le script Python récupére et exécute finalement un shellcode final à partir de la mémoire, généré avec Donut, tentant de communiquer avec un serveur C2 à 160 \ [. \] 30 \ [. \] 21 \ [. \] 115: 7000. ### Analyse supplémentaire Le projet de beignet open-source permet la création d'un shellcode Shell-dépendant indépendant de la position capable de charger et d'exécuter des assemblages .NET à partir de la mémoire.En chargeant les charges utiles directement dans la mémoire, les acteurs de la menace [peuvent éviter la détection] (https://cloud.google.com/blog/topics/thereat-intelligence/staying-hidden-on-the-endpoint-evadeing-dection-with-shellcode) par logiciel antivirus traditionnel. Des chercheurs en sécurité ont déjà rendu compte des groupes de menaces parrainés par l'État abusant du beignet.Par exemple, en octobre 2023, [Vérifier la recherche sur le point] (https://research.checkpoint.com/2023/from-albania-to-the-middle-east-the-scarred-manticore-is- listening/) rapporté surLe groupe iranien marqué Manticore utilisant Shellcode généré en utilisant le projet Donut dans le cadre d'une campagne de cyber-espionnage ciblant les organisations de haut niveau au Moyen-Orient. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Comprendre et utiliser * ExecutionPolicy *: - La stratégie d'exécution de PowerShell \\ contrôle comment les scripts sont chargés et s'exécutent. - Définissez une politique d'exécution appropriée en fonction de vos besoins. - N'oubliez pas que la politique d'exécution n'est pas infaillible;il peut être contourné. - En savoir plus sur [les politiques d'exécution] (https://learn.microsoft.com/powershell/scripting/security/security-derutures?view=Powershell-7.4). - Activer et surveiller la journalisation PowerShell: - Activer la journalisation du bloc de script, la journalisation du module et la transcription. - Ces journaux fournissent une trace d'activité et aident à identifier les comportements malveillants. - Plongez plus profondément dans [PowerShell Security Fonctionnal] (https://learn.microsoft.com/powershell/scripting/security/security-deatures?view=powershell-7.4). - Mettre à jour régulièrement PowerShell: - Gardez votre environnement PowerShell à jour. - Les mises à jour incluent souvent des améliorations de sécurité et des correctifs pour les vulnérabilités connues. - En savoir plus sur [l'installation et la mise à jour de PowerShell sur Windows, Linux et MacOS] (https://learn.microsoft.com/powershell/scripting/install/installing-powershell?view=powershell-7.4). ## références [Aimez-vous les beignets;Voici un Donut Shellcode livré via PowerShell / Python] (https://isc.sans.edu/diary/rss/31182).Sans Technology Institute (consulté en 2024-08-19) [Utilisation malveillante de PowerShell] (https://sip.security.microsoft.com/intel-explorer/articles/3973dbaa).Microsoft (consulté en 2024-08-19) ## Copyright **&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est in |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### **© 115:7000 160 2023 2024 2024** 3650 about abusing accessed activity actors additional albania all allows alone analysis antivirus any appropriate arbitrary archives are assemblies attack attempting avoid based bat begins behavior block bypassed campaign can capable chain check checkpoint com/2023/from com/blog/topics/threat com/intel com/powershell/scripting/install/installing com/powershell/scripting/security/security communicate complete contain content controls copyright creation cyber date deeper delivered delivery description detection directly distribution dive does donut donuts; download downloading downloads east edu/diary/rss/31182 enable endpoint enhancements environment espionage evading eventually example execute executes executing execution explorer/articles/3973dbaa features fetches file final following foolproof; from generated google group groups have help here hidden high how https://cloud https://isc https://learn https://research https://sip identified identify impact include independent initial initially injecting installing institute intelligence/staying into invokes involves iranian keep known learn libraries like linux listening/ loaded loading logging logging: logs macos malicious manticore mechanism memory microsoft middle mitigations module monitor more named needs net next not novel obfuscated october often open organizations part patches payloads permission point policies policy position powershell powershell/python powershell: previously processes profile prohibited project provide python recommendations recommends reduce references regularly remember reported reproduction required research researchers reserved rights run sans scarred script scripts security series server set shellcode site small snapshot software source specify sponsored stage state step subsequent targeting technology thereof these threat through traditional trail transcription ultimately understand unpack update updates updating use use *executionpolicy*: using view=powershell vulnerabilities which windows without written your zip sans by |
| Tags | Vulnerability Threat Cloud |
| Stories | APT 34 |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.