7 powodów wykorzystywania PowerShell do złośliwych ataków

Kilka miesięcy temu rosyjski PIR Bank stracił okrągły milion dolarów. Swój udział miały w tym skrypty napisane w PowerShell. Co prawda najsłabszym punktem okazał się router z nieaktualnym oprogramowanie, który posłużył do zainfekowania sieci banku. To jednak dalsze działania post-exploitowe hakerzy wykonali za pomocą skryptów PowerShell unikając szybkiego wykrycia.

By PowerShell

Kilka miesięcy temu rosyjski PIR Bank stracił okrągły milion dolarów. Swój udział miały w tym skrypty napisane w PowerShell. Co prawda najsłabszym punktem okazał się router z nieaktualnym oprogramowanie, który posłużył do zainfekowania sieci banku. To jednak dalsze działania post-exploitowe hakerzy wykonali za pomocą skryptów PowerShell unikając szybkiego wykrycia.

Wykorzystanie PowerShell do złośliwych ataków, jak się okazuje to nic nowego, dodatkowo liczba ta stale rośnie. Skrypty PowerShell znajdują miejsce w oprogramowaniu ransomware, trojan, malware lub makrach dokumentów Microsoft Office.

Na blogu Symantec znajdziemy informacje o rosnącej ilości ataków. Od połowy 2017 do początku 2018 zwiększyła się o 661 procent. Natomiast w raportach McAfee wyraźnie widać, że pierwszy kwartał 2017 okazał się przełomowy. Ilość kodu PowerShell w szkodliwym oprogramowaniu gwałtownie wzrosła.


Według  jednej z firm z obszaru cyberbezpieczeństwa już w 2016 roku w 38% badanych przez nich incydentach wykorzystano PowerShell.  Z czego 31% nie podniosło żadnych alertów bezpieczeństwa.

Skąd taka popularność?

7 powodów coraz częstszego wykorzystywania PowerShell do złośliwych ataków:

  1. PowerShell w systemach Windows instalowany jest domyślnie nawet, jeśli nie chcesz. Sprawia to, że jest ogólnodostępny.
  2. Pozwala na wykonywanie kodu bezpośrednio w pamięci bez zapisywania plików na dysku. Znacznie upraszcza zacieranie śladów,
  3. Wykonywanie kodu PowerShell domyślnie nie pozostawia dużej ilości śladu w dziennikach zdarzeń, co utrudnia analize ataku.
  4. Łatwe zaciemnianie kodu. W rezultacie skrypty PowerShell stają się trudne do wykrycia przez narzędzia bezpieczeństwa.
  5. Brak świadomości zagrożeń, jakie niesie za sobą Windows PowerShell. Co powoduję niedbałość o hardening np. usługi WinRM.
  6. Liczne community z jeszcze większą ilością gotowych skryptów.
  7. PowerShell wykorzystywany do automatyzacji zadań administracyjnych (i nie tylko). Umożliwia to umieszczanie szkodliwego kodu w regularnie wykonywany skryptach.

Czy przestać korzystać z PowerShell?

NIE

Zamiast tego polecę zapoznanie się z dokumentem przygotowanym przez Australian Cyber Security Center, w którym znajdziesz wskazówki jak zabezpieczyć PowerShell.

Poniżej również linki do raportów o rosnącym wykorzystaniu PowerShell:

  1. https://www.symantec.com/blogs/threat-intelligence/powershell-threats-grow-further-and-operate-plain-sight
  2. https://www.mcafee.com/enterprise/en-us/assets/reports/rp-quarterly-threats-sep-2018.pdf

Jeśli jeszcze nie korzystasz z PowerShell, ale chciałbyś to zachęcam Cię do pobrania dokumentu o tym jak zacząć.

Photo by John Matychuk on Unsplash

22 Najważniejsze Wskazówki Pisania Skryptów PowerShell

No comments yet.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

× Close