Rengeteg PowerShell script ártalmas, ezért a hamarosan bekövetkező nagy Windows frissítés komoly biztonsági kérdéseket vet fel.
Hirdetés
 

A Microsoft PowerShellje az ártalmas kódok mennyországa lesz, állítja a Symantec. Az IT-biztonsággal foglalkozó vállalat döbbenetes méretű növekedést mért az ebben a közegben létező malware-ek tekintetében.

Erő a Héjban

Átlagfelhasználóként nem is találkozik a monitor előtt ülő mással a Windows használatakor, csak az ilyen-olyan grafikus felületekkel. Jobb felső sarokban levő X-szel bezárja a futó alkalmazást, programokat indítani az Asztalról vagy a Start Menüből szokott, és így tovább. Pedig a redmondi operációs rendszer nem csak grafikus kezelőfelületen keresztül működtethető, hanem parancssoros üzemmódban is.

Egy egyszerű IP-cím pingelést (vagy hálózati beállítások lekérdezését és így tovább) nagyon egyszerűen le lehet futtatni a Command Shellen keresztül, a kicsit tapasztaltabb felhasználók zömének nem is volt szüksége többre. A Microsoft azonban nemrég úgy döntött, hogy száműzi ezt a funkciót, és helyette a szinte napra pontosan tíz éve létező PowerShell veszi át a helyét. Annyira komolyan gondolta ezt a szoftverfejlesztő vállalat, hogy amikor a Creators Edition – azaz a Windows 10 következő nagy frissítése – megjelenik 2017-ben, akkor a funkcióbővítésekkel párhuzamosan ezt a váltást is lezavarja.

Egyrészről nem lesz akkora a váltás, hiszen, mint írtuk, már egy évtizede elérhető az újabb Windows-okban, akár most, ezen sorok olvasásakor is elő tudja csalni az olvasó a Start billentyű és a „PowerShell” szó begépelésével. Másrészről azonban komoly biztonsági kockázatot hordoz ez a váltás, a Symantec szerint az online bűnözők már ugrásra készen várják a cserét.

Intő jelek

Már 2014-ben arról írtunk, hogy a Symantec és a Trend Micro víruskutatói felfigyeltek arra, hogy a kártékony programok működésében és terjesztésében egyre gyakrabban szerepet kap a PowerShell parancssori környezet. A védekezés ezek ellen a károkozók ellen éppen azért nehéz, mert a támadók teljesen legális szoftverek segítségével hajtják végre a támadást. Akkori tanácsunk ma fokozottan érvényes: a PowerShell-t (és bármilyen más parancsfájlt is) csak kellő körültekintéssel szabad futtatni, és a PowerShell biztonsági beállításait is érdemes minél erősebbre venni.

Tavaly aztán kiderült, hogy felpörgött a PowerShell malware-ek terjedése. Mivel a hagyományos támadások sok nyomot hagynak, így forensic vizsgálatokkal viszonylag könnyen feltérképezhetők. Ezért vált egyre népszerűbbé a támadók körében a PowerShell, hiszen kódjai úgy is bejuttathatók a memóriába, majd lefuttathatók, hogy közben nem kerülnek a merevlemezre. Ez pedig csökkenti a feltárható bizonyítékok számát; így többek között a ransomware kártevők is hatékony segítséget kaptak.

A Symantec nemrég elvégzett sandbox tesztje szerint pedig az általa vizsgált scriptek szinte mindegyike – egészen pontosan 95,4 százalékuk – ártalmasnak bizonyult. Ez komoly fenyegetést jelent a vállalatokra, ezért a sárga-fekete vállalat azt javasolja a rendszergazdáknak, hogy mindig frissítsék a PowerShellt a legújabb változatra, és engedélyezzék a kiterjesztett naplózást (logolást) és megfigyelést (monitoring). A rendszerek többségén ugyanis ezek alapértelmezettként ki vannak kapcsolva.

Rusnya kis dögök

A Symantec közlése szerint számos ártalmas feladatra felhasználó a PowerShell. Például a Trojan.Kotver anélkül tudja megfertőzni a Registry-t, hogy ahhoz bármilyen állományt használna. De scriptekkel eltávolíthatók a rendszer védő biztonsági termékek, észlelhetők az elemzésükre létrehozott virtuális homokozó környezetek, vagy akár jelszavak után is lehet kutakodni. A legjobb tehát megelőzni, hogy bejussanak a rendszerbe.

Biztonság

Már nem a CIO-é a legjobban fizető IT-vezetői állás

Legalábbis Amerikában. A stratégiaalkotás és az IT-büdzsé menedzselése továbbra is az ő feladatuk, de eljött a specializálódás kora.
 
Ehhez is a felhőszolgáltatások adják a nagy lökést, teret adva a kísérletezéshez.
A koncentrált erőforrások kockázatai is koncentráltan jelentkeznek. Az informatikai szolgáltatóknak, felhős cégeknek érdemes lenne körülnézniük a közműszolgáltatóknál, hogyan kezelik ezt a problémát.

Sikeremberektől is tanultak a CIO-k

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2017 Bitport.hu Média Kft. Minden jog fenntartva.