PowerShell, голям атакуващ вектор на злонамерен софтуер

PowerShell, голям атакуващ вектор на злонамерен софтуер
powershell original

Има някакъв злонамерен код, съхраняван някъде на един от компютрите в мрежата на нашата компания. Когато компютърът е включен, кодът започва да събира информация за идентификационните данни на другите служители, както и за разрешенията на администратора в мрежата. След това тя търси най-ценните активи на компанията и прави най-важното за тях. След като намери това, което е било след това, тя започва процеса на събиране на цялата тази чувствителна информация. И най-лошото от всичко, решението на компанията за киберсигурност не се възприема при инсталирането на файлове, които биха могли да се считат за заплаха. Кодът, който нанесе толкова много щети на компанията, изчезна, без следа.

Тази ситуация на кошмар е реална. Тези усъвършенствани променливи заплахи (AVT), по-известни като безличен зловреден софтуер, за първи път се появиха на нашия радар преди повече от година. Както обяснихме тогава, този вид заплаха не е предназначен за запис върху твърдия диск. Вместо това, тя работи от паметта, RAM, например. Липсата на файлове на твърдия диск прави невъзможно традиционните системи за защита да откриват заплахата и представя редица предизвикателства в областта на киберсигурността. И така, как е възможно те да причинят толкова много щети, без да използват файлове? В много случаи един от основните вектори на атака, който използва, е PowerShell.

powershell-grafico

Перфектният вектор

PowerShell, системната конзола на Windows (CLI), е перфектният вектор за атака за безличен малуер. PowerShell позволява на системните администратори да автоматизират напълно задачите на сървъри и компютри. В такъв случай, ако кибератаците управляват поемането на контрола над нея, те могат да получат много разрешения за системата на компанията, което ще им позволи да въведат повече злонамерен софтуер безпрепятствено. Нещо повече, PowerShell надхвърля Windows; също така позволява на потребителите да контролират определени приложения като Microsoft Exchange, SQL Server и IIS.

С всички тези възможности зловредният софтуер без влакна обикновено използва PowerShell, за да въведе зловредния си код в конзолата, като се включи в RAM. След като кодът е изпълнен в PowerShell, той се превръща в “страничен” вектор на атака в корпоративните мрежи, т.е. той се разпространява от централния сървър, а не избира външен вход.

Тъй като няма никаква следа от кода на твърдия диск на първия компютър, заразени със зловреден софтуер, Windows Defender и много други традиционни решения за сигурност не успяват да открият атаката, освен при евристични системи за наблюдение, които се изпълняват често.

Как да се противопостави на безличен зловреден софтуер

Първата линия на защита срещу зловреден софтуер е много проста, макар че може да не работи за всички организации и корпоративни мрежи: деактивиране на PowerShell, ако не е необходимо да се администрират системи. Това може да се случи само ако администраторът използва друг вид инструмент за автоматизиране на задачите си. В тези случаи не е позволено PowerShell да бъде най-добрата форма на защита.

Ако обичайното използване на PowerShell от администраторите означава, че не може да бъде деактивирано, втората мярка е да се уверите, че компютрите и мрежата на организацията използват най-новата версия на PowerShell. Тук PowerShell 5 има допълнителни мерки за сигурност за Windows.

Друга стъпка, която може да се предприеме, е да се разрешат само някои функции на PowerShell, което е и режимът на ограничения език. Това може да спре потенциално опасни действия като произволни повиквания към Windows API или деактивиране на някои макроси, но няма да спре всички видове атаки.

От друга страна, Microsoft въведе повече и по-разширени функции в регистрацията на PowerShell, т.е. автоматичната транскрипция на команди, особено за действия, които се оказаха симптом на кибератака. Разрешаването на тези функции за транскрипция може да помогне на компаниите да изпълняват тези съдебно-медицински задачи, когато подозират, че е имало злонамерена атака.

И накрая, от жизненоважно значение е компаниите да имат напреднали решения за киберсигурност. Panda Adaptive Defense използва превантивни технологии като постоянни услуги за защита от злоупотреби, които са възможни благодарение на използването на големи данни и машинно обучение за откриване на атаки въз основа на аномално поведение. Нашата технология за анализ на поведението и откриването на IoA (скриптове, макроси и др.) Позволяват на организациите да продължат напред и да спрат да стартират неизвестни процеси, като например тези, които могат да генерират безличен малуер.

 

Източник: Panda Media Center

За Panda Security

Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др.).

Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение.

За допълнителна информация:

Компютел ООД – Официален представител на Panda Security за България
София: 02/ 813 28 11
Пловдив: 032/ 62 16 08

Сподели в:

Категории:

Следвай ни в: