Windows PowerShell绑定到超过三分之一的网络攻击
一份报告显示,Microsoft'Swindows PowerShellConfiguration管理框架用于推出安全Firmcarbon Black及其合作伙伴的38%的网络攻击。
安全专家警告说,PowerShell在过去的一年里已经完全武器 - 但碳黑的第一个统一威胁报告首次量化了风险。
该报告基于由28家公司管理服务提供商和炭黑合作伙伴计划中的28家公司管理服务提供商和事件响应公司调查的1,100个网络安全事件的数据,包括BTB安全,EY,Kroll,Optiv,Rapid7和Red Canary。
参与该研究的公司超过三分之二表示,他们在过去一年中遇到了Powershell漏洞。
报告称,PowerShell开发的使用增加了支持恶意软件作者的不断增长的行业趋势,并通过利用操作系统(OS)工具来试验逃避检测的方法。
使用PowerShell的攻击在剩余的未检测到中非常有效,31%的炭黑合作伙伴报告了与相关的事件有关的炭黑合作伙伴已触发任何安全警报,表明攻击者在使用PowerShell进入并在公司的系统中取得成功。
大多数PowerShell攻击采取了基本或机会主义威胁的形式,使用单击欺诈,假冒防病毒和赎金软件等商品恶意软件攻击,而13%的涉及PowerShell的攻击似乎是有针对性的或“高级”。
在PowerShell攻击期间存在的三种最常见的恶意软件是Vawtrak(调查的攻击的53%),PowEliks(47%)和曲折或功率蠕虫(42%)。
据炭黑合作伙伴称,社会工程仍然是为提供基于PowerShell的攻击的有利技术。
“PowerShell是一个非常强大的工具,为查询系统和执行命令提供巨大的福利,包括远程机器,”炭黑的首席安全战略家和联合联合国。
“然而,最近,我们看到错误的家伙利用它的恶意目的,因为它在传统的终点安全产品的雷达中飞行。
“PowerShell给出了坏人,因为它是原生Windows操作系统的一部分,这使得安全团队很难。另一方面,PowerShell有助于它自动化各种任务。他说,这两个部门需要走在一起并在IT自动化和安全之间取得平衡,“他说。
2016年3月,炭黑威胁研究团队在赎金软件的变种中发出了一个赎金软件,通过Microsoft Word和PowerShell为目标组织。
研究人员发现,通过使用PowerShell来检索和执行恶意代码,PowerWare Ransomware可以避免将新文件写入磁盘并与合法活动混合,使得难以检测更难。
在RSA会议上2016年旧金山,安全专家Andsans Instringsinstructoreds Skoudis警告说,PowerShell Empire开源安全工具对攻击者来说是攻击者的用途。
PowerShell Empire的目标是展示攻击者可以与Powershell的全部力量有关,但它包括一个“强大的代理商”,攻击者可以用来利用PowerShell的各种功能,这已建于每个版本的Windows中八十年来,斯皮杜斯说。
鉴于PowerShell已完全武器,Skoudis表示,捍卫者不应依赖其有限的执行政策。
虽然PowerShell旨在限制用户可以写入以防止意外损坏的脚本,但Skoudis表示这不是一个安全功能,因为任何脚本都可用于关闭默认的受限执行策略以允许执行任何脚本。
微软通过在Windows 10中向PowerShell 5添加功能来响应PowerShell的武器化,以减少攻击者对PowerShell的开发。
“PowerShell 5将记录流水线上传递的所有项目,并将记录脚本块内部发生的事情,并且对于Windows 10,它具有与antimalware的集成,因此无论antimalware到位,PowerShell都可以在执行之前对antimalware进行调用脚本,“Skoudis说。
“PowerShell 5还有一个被称为”受限模式“的东西,它集成了PowerShell withApplocker,几乎给出了PowerShell脚本的白名单,但即使使用这个东西在Windows 10和PowerShell 5中,攻击者仍然有三到五年的剩余的PowerShell访问。 “