Backdoor PowerShower, analisi di una backdoor fileless

Scopri PowerShower, una backdoor fileless che sfrutta PowerShell per compromettere i sistemi Windows, aggirando antivirus e rilevamenti.

Al giorno d’oggi, la sicurezza informatica è diventata a dir poco essenziale per aziende, organizzazioni e utenti privati. Col passare del tempo i nostri sistemi e i software d’uso comune sono divenuti sempre più complessi, a tal punto da generare vulnerabilità spesso e volentieri quasi invisibili.

Cos’è la backdoor PowerShower?
Come funziona la backdoor PowerShower?
Best practices contro PowerShower

Qui che i cybercriminali si inseriscono: per sfruttare queste falle in modo da ottenere accessi non autorizzati, rubare dati sensibili e compromettere intere infrastrutture.
Una delle minacce più insidiose in questo contesto è PowerShower, una backdoor avanzata progettata per garantire accesso remoto ai sistemi infetti e facilitare operazioni malevole.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Cos’è la backdoor PowerShower?

Identificata per la prima volta nel 2018, PowerShower è una backdoor fileless attribuita al collettivo cybercriminale Inception, noto per le sue operazioni di cyber-spionaggio contro aziende e istituzioni governative. Questo gruppo, attivo almeno dal 2014, ha legami con attori statali e utilizza sofisticate tecniche di offuscamento per eludere i sistemi di difesa.

A differenza di altre backdoor più tradizionali, PowerShower sfrutta Windows PowerShell per eseguire comandi malevoli in memoria, evitando così di lasciare tracce su disco. Essa è progettata per eseguire una fase iniziale di ricognizione sui sistemi infetti e scaricare payload aggiuntivi per operazioni malevole più sofisticate. Dalle analisi condotte da NHS England, il codice della backdoor è così leggero da passare inosservato, apparendo come un normale processo di sistema.

Come si può facilmente intuire, PowerShower prende di mira la famiglia di sistemi operativi Windows, sfruttando come entry point vulnerabilità note, o credenziali compromesse. Una volta attivata, la backdoor stabilisce un canale di comunicazione con i server Command & Control (C2) gestiti dagli attori malevoli. In tal modo, questi eseguono da remoto comandi PowerShell, dando inizio al loro attacco. Si è osservato un picco di attività tra il 2018 e il 2020, con attacchi mirati a settori strategici, quali:

Aziende tecnologiche e informatiche;
Istituzioni governative;
Infrastrutture critiche;

Grazie all’esecuzione fileless direttamente in memoria e all’impiego di tecniche di offuscamento, PowerShower è in grado di aggirare facilmente i controlli basati su firme statiche di molti antivirus e sistemi di rilevamento. Da qui la sua classificazione come minaccia particolarmente insidiosa e subdola.

Come funziona la backdoor PowerShower?

Come detto nel paragrafo precedente, PowerShower è una backdoor altamente furtiva che sfrutta Windows PowerShell per garantire accesso remoto ai sistemi infetti. Il suo funzionamento può essere suddiviso in cinque fasi principali: individuazione del bersaglio, compromissione iniziale, persistenza, esecuzione di comandi e esfiltrazione dei dati.
Di seguito, analizziamo nel dettaglio il processo con una simulazione d’attacco.

Individuazione del bersaglio

L’attaccante inizia la sua operazione individuando sistemi Windows vulnerabili che eseguono PowerShell con privilegi elevati. Per farlo, utilizza strumenti di scanning avanzati come Nmap, con lo script smb-os-discovery.nse, oppure BloodHound, per analizzare la topologia di Active Directory e identificare credenziali deboli. Un’altra tecnica comune prevede l’uso di Shodan o Censys per rilevare host esposti con porte SMB445 e WinRM 5985 aperte, indicatori tipici di sistemi potenzialmente compromettibili.

Compromissione iniziale

Una volta individuato un sistema vulnerabile, PowerShower viene iniettata attraverso diversi metodi. I principali sono:

Attacchi di credential stuffing con combinazioni di credenziali compromesse.
Exploiting di vulnerabilità note, come CVE-2023-23397 (relativa a Outlook) e CVE-2021-34527 (PrintNightmare), che permettono esecuzione di codice remoto con privilegi elevati.
E-mail di spear-phishing, la scelta maggiormente adottata, in quanto inducono l’utente ad eseguire script PowerShell offuscati.

L’attaccante esegue quindi un payload PowerShell fileless, che carica PowerShower direttamente in memoria senza lasciare tracce nel file system. Questo avviene tipicamente tramite Invoke-Expression (IEX), una tecnica che consente di eseguire codice malevolo recuperato da server remoti senza creare file locali.

Persistenza nel sistema

Dopo l’iniziale compromissione, PowerShower si assicura la persistenza modificando i seguenti componenti del sistema:

Registro di sistema di Windows, al cui interno è creata una chiave malevola al percorso HKCU/Software/Microsoft/Windows/CurrentVersion/Run, al fine di garantire un’esecuzione all’accio del sistema operativo.
Scheduled Tasks, in modo che processi pianificati eseguano automaticamente il payload a intervalli regolari.
WMI Event Subscription, in cui gli eventi WMI sono registrati regolarmente, per attivare PowerShower in caso di un riavvio di sistema.

In tal modo, la backdoor sopravvive anche dopo riavvii e aggiornamenti, rimanendo operativa senza alcuna interazione umana.

Esecuzione di comandi e movimenti laterali

Dopo aver ottenuto il controllo del sistema, l’attaccante utilizza PowerShower per eseguire comandi PowerShell da remoto. Il malware stabilisce un canale di comunicazione con un server C2, spesso attraverso richieste HTTP(S) crittografate, o tunnel DNS.

Così facendo il cybercriminale è libero di attaccare sia il sistema compromesso, che la rete interna a cui è connesso. Nello specifico può:

Eseguire comandi arbitrari per mezzo di strumenti terzi, come Cobalt Strike;
Copiare ed estrarre credenziali usando strumenti come Mimikatz, o DumpLSASS;
Muoversi lateralmente nella rete, sfruttando attacchi come pass-the-hash e Kerberoasting, per compromettere altri host.

Esfiltrazione di dati sensibili

L’ultima fase dell’attacco prevede l’esfiltrazione di dati sensibili, che avviene principalmente per mezzo di un WebClient basato su PowerShell. In tal modo, i dati e gli assets aziendali critici sono inviati ai server C2 per mezzo del protocollo HTTP. In alternativa, l’attore malevolo può fare ricorso a Chisel e Socat per creare un tunnel crittografato e aggirare i firewall aziendali.

A ciò si aggiunge la garanzia di invisibilità totale da parte di PowerShower. Infatti, la backdoor provvede a eliminare i log di sistema e ad offuscare ulteriormente la presenza di utenti non autorizzati nella rete aziendale.

Best practices contro PowerShower

In base a quanto discusso nel paragrafo precedente, si evince che PowerShower è una minaccia contro cui le classiche soluzioni antivirus basate su firme statiche risultano del tutto inefficaci. Ecco perché si necessita l’impiego di strategie difensive mirate ad una backdoor fileless, in modo da non essere colti di sorpresa in caso di una sua insorgenza.
Di seguito sono riportate alcune tra le best practices più efficaci.

Restrizione dell’uso di PowerShell.
Poiché PowerShower si basa su PowerShell per eseguire codice malevolo, il suo utilizzo deve essere limitato solo ed esclusivamente agli amministratori di sistema. Va inoltre abilitata la sua Constrained Language Mode e monitorare costantemente i suoi log di sistema.
Applicazione tempestiva delle patch di sicurezza.
Bisogna aggiornare regolarmente sia i sistemi operativi, che i software in seno alla propria organizzazione. In tal modo si previene lo sfruttamento di vulnerabilità note da parte degli attaccanti.
Gestione sicura delle credenziali.
Attraverso l’impiego dell’autenticazione a più fattori (MFA), il monitoraggio di ìeventuali credential leaks e l’utilizzo di password robuste e uniche, ci si assicura che tutti gli accessi critici siano messi in sicurezza.
Segmentazione della rete aziendale.
I sistemi critici vanno isolati in subnet dedicate con restrizioni di accesso rigorose. In più, attraverso l’implementazione delle regole di accesso basate sul principio del minimo privilegio (PoLP), ci si assicura che solo il personale autorizzato possa accedere ai settori più sensibili.
Monitoraggio e rilevamento delle intrusioni.
Attraverso l’uso di EDR (Endpoint Detection & Response) e SIEM (Security Information and Event Management), è possibile individuare sin dal principio qualsiasi tentativo di intrusione nella propria rete interna.

In conclusione

La nostra analisi di PowerShower ribadisce un punto fondamentale: non si può concedere un accesso indiscriminato agli strumenti più sensibili ed esposti. PowerShell, in particolare, è uno degli entry point preferiti dai cybercriminali se non viene adeguatamente monitorato.

Policy di accesso restrittive, monitoraggio costante e aggiornamenti tempestivi possono fare la differenza. La sicurezza informatica non è un concetto statico, ma un processo in continua evoluzione che riguarda tutti. Il mondo digitale offre opportunità straordinarie, ma anche minacce sempre più insidiose. Solo con vigilanza attiva e consapevolezza potremo affrontare i rischi e vivere la nostra vita online in sicurezza.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.