Vice Society团伙正在使用自定义PowerShell工具进行数据窃取

Vice Society勒索软件运营商被发现使用PowerShell工具从受感染的网络中窃取数据。

Palo Alto Unit 42团队发现Vice Society勒索软件团伙 使用定制的Microsoft PowerShell(PS) 脚本从受害者网络中窃取数据。

威胁行为者正在使用PowerShell工具来逃避软件和/或基于人的安全检测机制。PS脚本通常在典型的Windows环境中使用，使用基于PowerShell的工具可以让威胁参与者隐藏在众目睽睽之下，并在不引起怀疑的情况下执行他们的代码。

2023 年初，研究人员发现该团伙使用名为w1.ps1的脚本从受害网络中窃取数据。Unit42研究人员能够从Windows事件日志(WEL)中恢复脚本。

该脚本使用 Windows Management Instrumentation (WMI)识别目标系统上任何已安装的驱动器，然后循环访问已识别的驱动器，以使用对象的.UploadFile方法通过HTTP POST事件准备数据泄露。

“每个 HTTP POST 事件都将包含文件的完整路径。如果你能够获得源主机的 IP 地址以及此路径，那么你将能够在事后构建一个泄露文件列表。”

该脚本使用CreateJobLocal( $folders )函数创建要通过Start-Job cmdlet作为作业运行的PowerShell脚本块。CreateJobLocal函数接收目录组，通常是五个一组。

该工具使用基于关键字的包含/排除过程来选择将哪些目录传递给fill()函数进行过滤。

该工具不针对包含系统文件、备份、与网络浏览器相关的文件夹以及赛门铁克、ESET 和 Sophos 的安全解决方案使用的文件夹。

该脚本会在每个目录中找到与包含列表匹配的所有文件，它会泄露没有在排除列表中找到扩展名且大于 10 KB 的文件。

该脚本会忽略大小小于 10 KB 且没有文件扩展名的文件。

“Vice Society 的 PowerShell 数据泄露脚本是一种简单的数据泄露工具。使用多处理和排队来确保脚本不会消耗过多的系统资源。然而，该脚本专注于超过 10 KB 的文件和文件扩展名以及符合其包含列表的目录，这意味着该脚本不会泄露不符合此描述的数据。” 总结报告。“不幸的是，Windows 环境中 PS 脚本的性质使得此类威胁难以完全预防。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5587.html