Kilka miesięcy temu rosyjski PIR Bank stracił okrągły milion dolarów. Swój udział miały w tym skrypty napisane w PowerShell. Co prawda najsłabszym punktem okazał się router z nieaktualnym oprogramowanie, który posłużył do zainfekowania sieci banku. To jednak dalsze działania post-exploitowe hakerzy wykonali za pomocą skryptów PowerShell unikając szybkiego wykrycia.

Wykorzystanie PowerShell do złośliwych ataków, jak się okazuje to nic nowego, dodatkowo liczba ta stale rośnie. Skrypty PowerShell znajdują miejsce w oprogramowaniu ransomware, trojan, malware lub makrach dokumentów Microsoft Office.

Na blogu Symantec znajdziemy informacje o rosnącej ilości ataków. Od połowy 2017 do początku 2018 zwiększyła się o 661 procent. Natomiast w raportach McAfee wyraźnie widać, że pierwszy kwartał 2017 okazał się przełomowy. Ilość kodu PowerShell w szkodliwym oprogramowaniu gwałtownie wzrosła.


Według  jednej z firm z obszaru cyberbezpieczeństwa już w 2016 roku w 38% badanych przez nich incydentach wykorzystano PowerShell.  Z czego 31% nie podniosło żadnych alertów bezpieczeństwa.

Skąd taka popularność?

7 faktów, które tłumaczą coraz większe wykorzystywanie PowerShell do złośliwych ataków:

  1. PowerShell w systemach Windows instalowany jest domyślnie nawet, jeśli nie chcesz. Sprawia to, że jest ogólnodostępny.
  2. Pozwala na wykonywanie kodu bezpośrednio w pamięci bez zapisywania plików na dysku. Znacznie upraszcza zacieranie śladów,
  3. Wykonywanie kodu PowerShell domyślnie nie pozostawia dużej ilości śladu w dziennikach zdarzeń, co utrudnia analize ataku.
  4. Łatwe zaciemnianie kodu. W rezultacie skrypty PowerShell stają się trudne do wykrycia przez narzędzia bezpieczeństwa.
  5. Brak świadomości zagrożeń, jakie niesie za sobą Windows PowerShell. Co powoduję niedbałość o hardening np. usługi WinRM.
  6. Liczne community z jeszcze większą ilością gotowych skryptów.
  7. PowerShell wykorzystywany do automatyzacji zadań administracyjnych (i nie tylko). Umożliwia to umieszczanie szkodliwego kodu w regularnie wykonywany skryptach.

Przestać korzystać z PowerShell?

NIE

Zamiast tego polecę zapoznanie się z dokumentem przygotowanym przez Australian Cyber Security Center, w którym znajdziesz wskazówki jak zabezpieczyć PowerShell.

  1. https://www.symantec.com/blogs/threat-intelligence/powershell-threats-grow-further-and-operate-plain-sight
  2. https://www.mcafee.com/enterprise/en-us/assets/reports/rp-quarterly-threats-sep-2018.pdf

Jeśli jeszcze nie korzystasz z PowerShell, ale zastanawiasz się nad tym to zapraszam Cię tutaj.

Photo by John Matychuk on Unsplash

Mateusz Nadobnik

Z pasją poświęcam czas na zdobywanie wiedzy w zakresie szeroko rozumianej Data Platform. Zachwycony językiem skryptowym Windows PowerShell. Swoją wiedzę, doświadczenia i spostrzeżenia opisuję na blogu.

read more