
Kilka miesięcy temu rosyjski PIR Bank stracił okrągły milion dolarów. Swój udział miały w tym skrypty napisane w PowerShell. Co prawda najsłabszym punktem okazał się router z nieaktualnym oprogramowanie, który posłużył do zainfekowania sieci banku. To jednak dalsze działania post-exploitowe hakerzy wykonali za pomocą skryptów PowerShell unikając szybkiego wykrycia.
Wykorzystanie PowerShell do złośliwych ataków, jak się okazuje to nic nowego, dodatkowo liczba ta stale rośnie. Skrypty PowerShell znajdują miejsce w oprogramowaniu ransomware, trojan, malware lub makrach dokumentów Microsoft Office.

Na blogu Symantec znajdziemy informacje o rosnącej ilości ataków. Od połowy 2017 do początku 2018 zwiększyła się o 661 procent. Natomiast w raportach McAfee wyraźnie widać, że pierwszy kwartał 2017 okazał się przełomowy. Ilość kodu PowerShell w szkodliwym oprogramowaniu gwałtownie wzrosła.

Według jednej z firm z obszaru cyberbezpieczeństwa już w 2016 roku w 38% badanych przez nich incydentach wykorzystano PowerShell. Z czego 31% nie podniosło żadnych alertów bezpieczeństwa.
Skąd taka popularność?
7 powodów coraz częstszego wykorzystywania PowerShell do złośliwych ataków:
- PowerShell w systemach Windows instalowany jest domyślnie nawet, jeśli nie chcesz. Sprawia to, że jest ogólnodostępny.
- Pozwala na wykonywanie kodu bezpośrednio w pamięci bez zapisywania plików na dysku. Znacznie upraszcza zacieranie śladów,
- Wykonywanie kodu PowerShell domyślnie nie pozostawia dużej ilości śladu w dziennikach zdarzeń, co utrudnia analize ataku.
- Łatwe zaciemnianie kodu. W rezultacie skrypty PowerShell stają się trudne do wykrycia przez narzędzia bezpieczeństwa.
- Brak świadomości zagrożeń, jakie niesie za sobą Windows PowerShell. Co powoduję niedbałość o hardening np. usługi WinRM.
- Liczne community z jeszcze większą ilością gotowych skryptów.
- PowerShell wykorzystywany do automatyzacji zadań administracyjnych (i nie tylko). Umożliwia to umieszczanie szkodliwego kodu w regularnie wykonywany skryptach.
Czy przestać korzystać z PowerShell?
NIE
Zamiast tego polecę zapoznanie się z dokumentem przygotowanym przez Australian Cyber Security Center, w którym znajdziesz wskazówki jak zabezpieczyć PowerShell.
Poniżej również linki do raportów o rosnącym wykorzystaniu PowerShell:
- https://www.symantec.com/blogs/threat-intelligence/powershell-threats-grow-further-and-operate-plain-sight
- https://www.mcafee.com/enterprise/en-us/assets/reports/rp-quarterly-threats-sep-2018.pdf
Jeśli jeszcze nie korzystasz z PowerShell, ale chciałbyś to zachęcam Cię do pobrania dokumentu o tym jak zacząć.
Photo by John Matychuk on Unsplash

Mateusz Nadobnik
Zachwycony językiem skryptowym Windows PowerShell. Swoją wiedzę, doświadczenia i spostrzeżenia opisuję na blogu.
read more