Rengeteg PowerShell script ártalmas, ezért a hamarosan bekövetkező nagy Windows frissítés komoly biztonsági kérdéseket vet fel.
Hirdetés
 

A Microsoft PowerShellje az ártalmas kódok mennyországa lesz, állítja a Symantec. Az IT-biztonsággal foglalkozó vállalat döbbenetes méretű növekedést mért az ebben a közegben létező malware-ek tekintetében.

Erő a Héjban

Átlagfelhasználóként nem is találkozik a monitor előtt ülő mással a Windows használatakor, csak az ilyen-olyan grafikus felületekkel. Jobb felső sarokban levő X-szel bezárja a futó alkalmazást, programokat indítani az Asztalról vagy a Start Menüből szokott, és így tovább. Pedig a redmondi operációs rendszer nem csak grafikus kezelőfelületen keresztül működtethető, hanem parancssoros üzemmódban is.

Egy egyszerű IP-cím pingelést (vagy hálózati beállítások lekérdezését és így tovább) nagyon egyszerűen le lehet futtatni a Command Shellen keresztül, a kicsit tapasztaltabb felhasználók zömének nem is volt szüksége többre. A Microsoft azonban nemrég úgy döntött, hogy száműzi ezt a funkciót, és helyette a szinte napra pontosan tíz éve létező PowerShell veszi át a helyét. Annyira komolyan gondolta ezt a szoftverfejlesztő vállalat, hogy amikor a Creators Edition – azaz a Windows 10 következő nagy frissítése – megjelenik 2017-ben, akkor a funkcióbővítésekkel párhuzamosan ezt a váltást is lezavarja.

Egyrészről nem lesz akkora a váltás, hiszen, mint írtuk, már egy évtizede elérhető az újabb Windows-okban, akár most, ezen sorok olvasásakor is elő tudja csalni az olvasó a Start billentyű és a „PowerShell” szó begépelésével. Másrészről azonban komoly biztonsági kockázatot hordoz ez a váltás, a Symantec szerint az online bűnözők már ugrásra készen várják a cserét.

Intő jelek

Már 2014-ben arról írtunk, hogy a Symantec és a Trend Micro víruskutatói felfigyeltek arra, hogy a kártékony programok működésében és terjesztésében egyre gyakrabban szerepet kap a PowerShell parancssori környezet. A védekezés ezek ellen a károkozók ellen éppen azért nehéz, mert a támadók teljesen legális szoftverek segítségével hajtják végre a támadást. Akkori tanácsunk ma fokozottan érvényes: a PowerShell-t (és bármilyen más parancsfájlt is) csak kellő körültekintéssel szabad futtatni, és a PowerShell biztonsági beállításait is érdemes minél erősebbre venni.

Tavaly aztán kiderült, hogy felpörgött a PowerShell malware-ek terjedése. Mivel a hagyományos támadások sok nyomot hagynak, így forensic vizsgálatokkal viszonylag könnyen feltérképezhetők. Ezért vált egyre népszerűbbé a támadók körében a PowerShell, hiszen kódjai úgy is bejuttathatók a memóriába, majd lefuttathatók, hogy közben nem kerülnek a merevlemezre. Ez pedig csökkenti a feltárható bizonyítékok számát; így többek között a ransomware kártevők is hatékony segítséget kaptak.

A Symantec nemrég elvégzett sandbox tesztje szerint pedig az általa vizsgált scriptek szinte mindegyike – egészen pontosan 95,4 százalékuk – ártalmasnak bizonyult. Ez komoly fenyegetést jelent a vállalatokra, ezért a sárga-fekete vállalat azt javasolja a rendszergazdáknak, hogy mindig frissítsék a PowerShellt a legújabb változatra, és engedélyezzék a kiterjesztett naplózást (logolást) és megfigyelést (monitoring). A rendszerek többségén ugyanis ezek alapértelmezettként ki vannak kapcsolva.

Rusnya kis dögök

A Symantec közlése szerint számos ártalmas feladatra felhasználó a PowerShell. Például a Trojan.Kotver anélkül tudja megfertőzni a Registry-t, hogy ahhoz bármilyen állományt használna. De scriptekkel eltávolíthatók a rendszer védő biztonsági termékek, észlelhetők az elemzésükre létrehozott virtuális homokozó környezetek, vagy akár jelszavak után is lehet kutakodni. A legjobb tehát megelőzni, hogy bejussanak a rendszerbe.

Biztonság

Robotok lehetnek a jövő olcsó gyógytornászai

Olyan szakmákat is átvehetnek az intelligens robotok, melyekről korábban azt gondolták, hogy a digitalizáció nagyon sokáig nem veszélyezteti létüket.
 
Spóroljon időt, szerezzen több bevételt, előzze meg az ügyfélvesztést.

a melléklet támogatója a MiniCRM

Hirdetés

Kitörési pont a kkv-knak

Ahhoz, hogy Magyarország fejlődni tudjon, elengedhetetlen a kis-, és középvállalkozások növekedése. De mi kell ahhoz, hogy ez teljesüljön? Cikkünkből kiderül! (x)

Egy nemzetközi kutatás szerint a szoftvergyártók auditja nem tesz jót az innovációnak, és a versenyt is gátolja. Segítsen felmérni a hazai helyzetet!
A VISZ az Infotér konferencián tárgyalta ki az IT-szakma képzési és munkaerő-piaci problémáit oktatási szakértők és cégvezetők segítségével.

2 millió forinttal díjazza a VISZ a legjobb középiskolát

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Másfél év alatt vált le a Budapest Bank szervezete a GE Capitalról. A folyamatban nagy szerepet kaptak a helyi szállítók is. Kelemen Bálint informatikai vezető (Budapest Bank) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2016 Bitport.hu Média Kft. Minden jog fenntartva.