PowerShell scriptekkel terjesztik a Malware kódokat a támadók

A Windowsba épített (kezdve a Windows 7-től) PowerShell egy nagyon hatékony eszköz az informatikai szakemberek számára, s éppen ezért a szoftveróriás alapértelmezettként szeretné használni (A parancssort leváltva.) a jövőre megjelenő Redstone 2-ben. A Symantec friss jelentése viszont a veszélyekre figyelmeztet.


A biztonsági céghez beérkezett rosszindulatú PowerShell scripteket elemzés alá véve arra a megállapításra jutottak, hogy a fenyegetések száma meglehetősen gyors ütemben növekszik (95,4 %-os emelkedést tapasztaltak), és különösen abban az esetben probléma ez, ha a vállalkozások széles körben használják az eszközt.

A legtöbb rosszindulatú PowerShell scriptet e-mailekben terjesztik, ahol egy hivatkozásba rejtve várják a letöltést, és ha "szerencséjük" van, akkor a futtatást is. Ezután kezdődhet el a malware terjedése a teljes hálózaton. A bűnözök egyre bonyolultabb PowerShell scripteket hoznak létre, és egyes biztonsági eszközöket is képesek eltávolítani!

"Az elmúlt hat hónapban átlagosan 466.028 rosszindulatú JavaScript emailt blokkoltunk naponta, és ez a tendencia folyamatos növekedést mutat." A PowerShell scriptek középpontjában három malware család áll, melyek W97M.Downloader (9,4 %), Trojan.Kotver (4,5 %), valamint a JS.Downloader (4,0 %) elnevezésre hallgatnak.

A Redstone 2 érkezésével az OpenSSH hozzáadásra fog kerülni a PowerShell-hez, mely megnövelt biztonságot (és nagyobb átjárhatóságot biztosít a Linux és a Windows között) jelent majd. Sokkal fejlettebb lesz, mint a régi parancssor, de ez több lehetőséget is jelenthet majd a támadók számára is.

A Symantec azt tanácsolja a rendszeradminisztrátoroknak, hogy mindenképpen bizonyosodjanak meg arról, hogy a gépeken a legújabb PowerShell verziót használják, illetve terjesszék ki rá a naplózást és a gyakori ellenőrzést. Nem mellékesen pedig szerezzenek be fejlett biztonsági eszközt, mely képes megvédeni az ilyenfajta módszerektől is.

Megosztáshoz használjátok a cikk felső részében található gyors megosztási gombokat! (FaceBook, Twitter, Google+)
Küldj bátran üzenetet a hírrel kapcsolatban! Minden hozzászólás fontos nekünk!

A cikket írta: Kori
Csevegés (eddig 3 hozzászólás)

Szólj hozzá

Hozzászólás küldéséhez be kell jelentkezni.
Kori · 2 év
Remélem még tesznek lépéseket a PowerShell-el kapcsolatban.* (Bár az lenne a legjobb, ha ezeket a malware scripteket a Windows Defender is megfogná! Bár itt is érkezik a fejlettebb Advanced Threat Protection...)

*Nem olyanra gondolok, mint a Windows 10 Build 14393.82-nél, ahol eleve hibásan frissítették a PowerShell-t, s az egy hétig használhatatlan volt.

Van még 3-4 hónap a Redstone 2 elkészültéig.
Driver · 2 év
Minél komplexebb és minél több lehetőséget nyújt valami, az általában sajnos a kártékony oldalról is jobban kihasználható. Ez ellen nem lehet sokat tenni, legfeljebb pontosan megszabhatják mit lehet és mit nem, de az pont a PowerShell nagy előnyét venné el (azért még lehet rajta finomítani). Talán az emberi tényezőn is kéne javítani, vagyis, hogy legalább annyit tudjon az alkalmazott, hogy ismeretlen forrásból származó leveleket még csak meg se nyisson (a csatolmány megnyitósdit inkább meg sem említem). De ez már egy másik történet...
Tommy080 · 2 év
Sziasztok.
Az alábbi képen látható kód futtatását nagyjából 5 hete figyelemmel kovetem és az a tapasztalatom hogy az elkoveto még mindíg nem járt sikerrel. Kíváncsi vagyok meddig bírja cérnával az automatizált kód futtatás sikertelenségét. Amint az látható a script egy weblinket próbál megnyitni a Power Shell-en keresztul.

i65.tinypic.com/6on0oi.jpg

Hirdetés

Hirdetés blokkolva!

A hirdetés blokkolva lett. Kérjük amennyiben teheted, támogass minket legalább annyival, hogy oldalunkon feloldod a reklámszűrőt. Mindez neked nem kerül semmibe, az oldal fennmaradásában viszont sokat segíthet. Köszönjük szépen!
Adatvédelmi irányelveink megváltoztak. Erről és a sütik használatáról itt olvashat

Online tagok: 2

tomisik, Lali
  • 10 Vendég
  • 139 Tagok ma
  • 7 Szülinapos
  • 17,190 Összes tag

MegaDance

A hirdetés blokkolva lett. Kérjük amennyiben teheted, támogass minket legalább annyival, hogy oldalunkon feloldod a reklámszűrőt. Mindez neked nem kerül semmibe, az oldal fennmaradásában viszont sokat segíthet. Köszönjük szépen!