Microsofts PowerShell wird zunehmend zu einem Sicherheits-Problem
erklärte der Sicherheitsforscher Candid Wueest von Symantec. Denn hier findet sich eine recht bequeme Möglichkeit, auf mächtige Windows-Funktionen zurückzugreifen.
PowerShell sei so attraktiv für Angreifer, weil es standardmäßig auf Windows-Systemen vorhanden ist und man in den meisten Fällen nur wenige Spuren hinterlässt, die bei einer späteren Analyse durch das Opfer hilfreich sind. Häufig wird es den Tätern hier auch leichter gemacht als nötig, da das Monitoring der PowerShell-Aktivitäten und das erweiterte Logging abgeschaltet bleiben.
Ganz so geschickt arbeiten die meisten Angreifer allerdings nicht. In den meisten Fällen geht es schlicht darum, dass aus Office-Makros oder in Webseiten eingebettete JavaScripts über PowerShell Downloader zum Einsatz gebracht werden, die dann weitere Routinen nachladen und zur Ausführung bringen. Aber auch das Ausschalten von Sicherheits-Tools, die Erkennung von Sandbox-Umgebungen und das Ausforschen des Netzwerk-Traffics werden oft über das Framework realisiert.
Da kaum jemand komplett auf PowerShell verzichten mag, sollte man den Angreifern aber zumindest das Leben schwerer machen, so der Symantec-Forscher. Dazu gehört es, auf regelmäßige Aktualisierungen zu achten und möglichst viele Log-Daten zu den Aktivitäten mitzuschreiben.
PowerShell wird Open Source Bei GitHub für Windows, Linux, OSX
Wenn es darum gehe, Payloads nachzuladen, die Infektionen in einem Netzwerk auszuweiten oder auch nur die Umgebung erst einmal für weitergehende Attacken zu erkunden, führt der Weg immer häufiger über PowerShell, PowerShell sei so attraktiv für Angreifer, weil es standardmäßig auf Windows-Systemen vorhanden ist und man in den meisten Fällen nur wenige Spuren hinterlässt, die bei einer späteren Analyse durch das Opfer hilfreich sind. Häufig wird es den Tätern hier auch leichter gemacht als nötig, da das Monitoring der PowerShell-Aktivitäten und das erweiterte Logging abgeschaltet bleiben.
Drehscheibe bei Angriffen auf Firmen
Insbesondere Unternehmens-Infrastrukturen werden inzwischen gern über das Framework angegriffen, während es bei Malware-Attacken auf einzelne Nutzer eine eher untergeordnete Rolle spielt. Eines der prominentesten Beispiele der letzten Zeit war der Kotver-Trojaner. Dieser schaffte es über ein PowerShell-Skript, Rechner zu infizieren, ohne auch nur eine Datei auf dem System abzulegen. Der Schädling nistete sich komplett in die Windows-Registry ein.Ganz so geschickt arbeiten die meisten Angreifer allerdings nicht. In den meisten Fällen geht es schlicht darum, dass aus Office-Makros oder in Webseiten eingebettete JavaScripts über PowerShell Downloader zum Einsatz gebracht werden, die dann weitere Routinen nachladen und zur Ausführung bringen. Aber auch das Ausschalten von Sicherheits-Tools, die Erkennung von Sandbox-Umgebungen und das Ausforschen des Netzwerk-Traffics werden oft über das Framework realisiert.
Da kaum jemand komplett auf PowerShell verzichten mag, sollte man den Angreifern aber zumindest das Leben schwerer machen, so der Symantec-Forscher. Dazu gehört es, auf regelmäßige Aktualisierungen zu achten und möglichst viele Log-Daten zu den Aktivitäten mitzuschreiben.
PowerShell wird Open Source Bei GitHub für Windows, Linux, OSX
Thema:
Beliebte Downloads
Jetzt als Amazon Blitzangebot
Ab 06:10 Uhr Lisen Legion Go/ROG Ally/Steam Dock, 13-in-1 Dockingstation mit 5 USB 3.0 und 2.0, Zwei Lüftern, HDMI 4K bei 60 Hz, Gigabit Ethernet, 100 W Aufladung für Stream Deck/Lenovo
Original Amazon-Preis
79,98 €
Blitzangebot-Preis
53,98 €
Ersparnis zu Amazon 33% oder 26 €
Beliebt im Preisvergleich
- Sicherheit & Backup:
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Meist kommentierte Nachrichten
Forum
-
10 oder 11?
raffa - vor 21 Minuten -
[Umfrage] Was für Browser nutzt ihr
pcfan - Heute 12:00 Uhr -
KDE, GNOME, XFCE, LXQT, oder LXDE
was setzt ihr ein?KDE, GNOME, XFC
Gregor54 - Heute 08:06 Uhr -
Win 10 neu aufsetzen mit altem Key
Doodle - Gestern 13:02 Uhr -
Winfuture.de - Song Of The Day Pt. 4
Reteibeg - Gestern 12:03 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen