最近,根據 CYFIRMA 的報告,出現了一種新的鍵盤記錄器,該工具通過 Microsoft 的 PowerShell 腳本運行。
鍵盤記錄器是一種惡意軟件,能夠捕獲感染系統上的每一個鍵擊。通過記錄鍵盤輸入,鍵盤記錄器可以收集敏感信息,例如登錄憑據、信用卡號碼和個人通訊,通常用來盜竊財務數據或監視個人和組織。根據 CYFIRMA 的研究,該鍵盤記錄器利用 Microsoft 的 PowerShell 腳本秘密捕獲鍵擊。PowerShell 與 Windows 的本地集成,以及其強大的腳本能力,使其成為攻擊者尋求無需直接用戶交互即可執行命令的一個吸引目標。
研究人員指出,這款 PowerShell 鍵盤記錄器展示了多項先進功能,以增強其隱蔽性和捕獲敏感信息的有效性。這些功能包括其命令和腳本解釋器,使鍵盤記錄器能夠通過 PowerShell 執行命令,而無需用戶交互,這大大增加了檢測的難度。
該鍵盤記錄器還執行系統發現,收集關鍵信息,如用戶配置檔目錄、卷詳細信息和加密設置。此外,鍵盤記錄器通過雲伺服器和 Tor 網絡上的 Onion 伺服器建立命令與控制(C2)通信。這種雙通道通信不僅保障了攻擊者的匿名性,還使追蹤其來源變得更加複雜。它還整合了屏幕截圖功能,讓攻擊者能夠獲取感染系統的視覺數據,除了記錄鍵擊外。
為了避免檢測,鍵盤記錄器採用了編碼命令執行,通過 Base64 編碼傳輸命令。這一技術隱蔽了命令,讓傳統安全措施無法識別。該鍵盤記錄器還通過 SOCKS 代理進行持續的連接嘗試,確保即使最初的連接嘗試失敗,它仍會繼續嘗試建立通信。雖然當前版本的鍵盤記錄器缺乏完善的持久性機制,但不完整的代碼表明未來的更新可能會增強其在感染系統上保持根基的能力。
考慮到這款基於 PowerShell 的鍵盤記錄器的高級特徵,CYFIRMA 建議組織應採取強有力的網絡安全措施來抵禦此類威脅,包括:
1. 加強安全政策:組織應執行嚴格的安全政策,限制未經授權的 PowerShell 腳本執行。這可能涉及禁用或限制不必要的 PowerShell 使用,並主動監控任何未經授權的執行嘗試。
2. 投資於先進的威脅檢測:實施利用機器學習和行為分析的先進威脅檢測系統。這些系統能更有效地檢測和應對複雜的威脅,例如鍵盤記錄器。
3. 教育員工:定期舉辦培訓,提升員工對釣魚攻擊及其他社交工程技術危險的認識,這些技術常用於部署鍵盤記錄器。
4. 定期進行系統審核:安排經常性的系統審核和完整性檢查,以檢測任何未經授權的修改,包括鍵盤記錄器的存在。這些審核有助於確保符合既定的安全政策。
5. 部署端點保護:利用專為檢測和阻止鍵盤記錄器活動而設計的端點保護解決方案。這些解決方案應能識別使用非交互式 PowerShell 處理的威脅,以增強整體安全性。