Kilka miesięcy temu rosyjski PIR Bank stracił okrągły milion dolarów. Swój udział miały w tym skrypty napisane w PowerShell. Co prawda najsłabszym punktem okazał się router z nieaktualnym oprogramowanie, który posłużył do zainfekowania sieci banku. To jednak dalsze działania post-exploitowe hakerzy wykonali za pomocą skryptów PowerShell unikając szybkiego wykrycia.

Wykorzystanie PowerShell do złośliwych ataków, jak się okazuje to nic nowego, dodatkowo liczba ta stale rośnie. Skrypty PowerShell znajdują miejsce w oprogramowaniu ransomware, trojan, malware lub makrach dokumentów Microsoft Office.

Na blogu Symantec znajdziemy informacje o rosnącej ilości ataków. Od połowy 2017 do początku 2018 zwiększyła się o 661 procent. Natomiast w raportach McAfee wyraźnie widać, że pierwszy kwartał 2017 okazał się przełomowy. Ilość kodu PowerShell w szkodliwym oprogramowaniu gwałtownie wzrosła.

Według  jednej z firm z obszaru cyberbezpieczeństwa już w 2016 roku w 38% badanych przez nich incydentach wykorzystano PowerShell.  Z czego 31% nie podniosło żadnych alertów bezpieczeństwa.

Skąd taka popularność?

7 powodów coraz częstszego wykorzystywania PowerShell do złośliwych ataków:

1. PowerShell w systemach Windows instalowany jest domyślnie nawet, jeśli nie chcesz. Sprawia to, że jest ogólnodostępny.
2. Pozwala na wykonywanie kodu bezpośrednio w pamięci bez zapisywania plików na dysku. Znacznie upraszcza zacieranie śladów,
3. Wykonywanie kodu PowerShell domyślnie nie pozostawia dużej ilości śladu w dziennikach zdarzeń, co utrudnia analize ataku.
4. Łatwe zaciemnianie kodu. W rezultacie skrypty PowerShell stają się trudne do wykrycia przez narzędzia bezpieczeństwa.
5. Brak świadomości zagrożeń, jakie niesie za sobą Windows PowerShell. Co powoduję niedbałość o hardening np. usługi WinRM.
6. Liczne community z jeszcze większą ilością gotowych skryptów.
7. PowerShell wykorzystywany do automatyzacji zadań administracyjnych (i nie tylko). Umożliwia to umieszczanie szkodliwego kodu w regularnie wykonywany skryptach.

Czy przestać korzystać z PowerShell?

NIE

Zamiast tego polecę zapoznanie się z dokumentem przygotowanym przez Australian Cyber Security Center, w którym znajdziesz wskazówki jak zabezpieczyć PowerShell.

Poniżej również linki do raportów o rosnącym wykorzystaniu PowerShell:

1. https://www.symantec.com/blogs/threat-intelligence/powershell-threats-grow-further-and-operate-plain-sight
2. https://www.mcafee.com/enterprise/en-us/assets/reports/rp-quarterly-threats-sep-2018.pdf

Jeśli jeszcze nie korzystasz z PowerShell, ale chciałbyś to zachęcam Cię do pobrania dokumentu o tym jak zacząć.

Photo by John Matychuk on Unsplash