CRIL تجزیه و تحلیل جامعی از یک زنجیره آلودگی پاورشل چند مرحلهای و پیچیده انجام داد که برای اطمینان از پایداری و دور زدن راهکارهای امنیتی، به طور بالقوه تسهیل حملات با استفاده از Chisel ساخته شده است.
CRIL کمپین پیچیدهای را شناسایی کرده است که در یک فرآیند آلودگی چند مرحلهای از پاورشل استفاده میکند. حمله با یک فایل LNK مشکوک آغاز میشود که یک اسکریپت پاورشل را فعال میکند و به منظور دانلود و اجرای payloadهای مخرب طراحی شده است.استراتژی لایهای با افزایش مخفیکاری، فرار از شناسایی و ماندگاری طولانی مدت در سیستم هدف را تضمین میکند.
در مرحله اول، فایل LNK یک اسکریپت پاورشل مبهم اولیه از راه دور را اجرا میکند که با استقرار و اجرای اسکریپت ثانویه پاورشل و فایلهای دستهای پایداری را ایجاد میکند. اسکریپت مرحله دوم پاورشل ارتباط خود را با سرور فرمان و کنترل (C&C) ادامه میدهد و اسکریپت مرحله سوم پاورشل را اجرا میکند. مرحله سوم و آخر اسکریپت پاورشل درخواستهایی را برای زنجیرههای فرمان ارسال میکند و شامل روالهایی برای اجرای دستورات دریافتی طبق دستور سرور C&C است.
تجزیه و تحلیل زیرساخت شبکه، بیانگر وجود یک Chisel DLL است که نشان میدهد عامل تهدید (TA) ممکن است از کلاینت Chisel برای ارتباطات C&C بیشتر و فعالسازی عملیات حرکت جانبی در شبکه آسیبپذیر استفاده کند. همچنین عوامل تهدید احتمالاً از پروکسی Netskope برای ارتباط فرمان و کنترل (C&C) با سرور Chisel استفاده میکند.
https://cyble.com/blog/dissecting-a-multi-stage-powershell-campaign-using-chisel/
