A Microsoft PowerShellje az ártalmas kódok mennyországa lesz, állítja a Symantec. Az IT-biztonsággal foglalkozó vállalat döbbenetes méretű növekedést mért az ebben a közegben létező malware-ek tekintetében.
Erő a Héjban
Átlagfelhasználóként nem is találkozik a monitor előtt ülő mással a Windows használatakor, csak az ilyen-olyan grafikus felületekkel. Jobb felső sarokban levő X-szel bezárja a futó alkalmazást, programokat indítani az Asztalról vagy a Start Menüből szokott, és így tovább. Pedig a redmondi operációs rendszer nem csak grafikus kezelőfelületen keresztül működtethető, hanem parancssoros üzemmódban is.
Egy egyszerű IP-cím pingelést (vagy hálózati beállítások lekérdezését és így tovább) nagyon egyszerűen le lehet futtatni a Command Shellen keresztül, a kicsit tapasztaltabb felhasználók zömének nem is volt szüksége többre. A Microsoft azonban nemrég úgy döntött, hogy száműzi ezt a funkciót, és helyette a szinte napra pontosan tíz éve létező PowerShell veszi át a helyét. Annyira komolyan gondolta ezt a szoftverfejlesztő vállalat, hogy amikor a Creators Edition – azaz a Windows 10 következő nagy frissítése – megjelenik 2017-ben, akkor a funkcióbővítésekkel párhuzamosan ezt a váltást is lezavarja.
Egyrészről nem lesz akkora a váltás, hiszen, mint írtuk, már egy évtizede elérhető az újabb Windows-okban, akár most, ezen sorok olvasásakor is elő tudja csalni az olvasó a Start billentyű és a „PowerShell” szó begépelésével. Másrészről azonban komoly biztonsági kockázatot hordoz ez a váltás, a Symantec szerint az online bűnözők már ugrásra készen várják a cserét.
Intő jelek
Már 2014-ben arról írtunk, hogy a Symantec és a Trend Micro víruskutatói felfigyeltek arra, hogy a kártékony programok működésében és terjesztésében egyre gyakrabban szerepet kap a PowerShell parancssori környezet. A védekezés ezek ellen a károkozók ellen éppen azért nehéz, mert a támadók teljesen legális szoftverek segítségével hajtják végre a támadást. Akkori tanácsunk ma fokozottan érvényes: a PowerShell-t (és bármilyen más parancsfájlt is) csak kellő körültekintéssel szabad futtatni, és a PowerShell biztonsági beállításait is érdemes minél erősebbre venni.
Tavaly aztán kiderült, hogy felpörgött a PowerShell malware-ek terjedése. Mivel a hagyományos támadások sok nyomot hagynak, így forensic vizsgálatokkal viszonylag könnyen feltérképezhetők. Ezért vált egyre népszerűbbé a támadók körében a PowerShell, hiszen kódjai úgy is bejuttathatók a memóriába, majd lefuttathatók, hogy közben nem kerülnek a merevlemezre. Ez pedig csökkenti a feltárható bizonyítékok számát; így többek között a ransomware kártevők is hatékony segítséget kaptak.
A Symantec nemrég elvégzett sandbox tesztje szerint pedig az általa vizsgált scriptek szinte mindegyike – egészen pontosan 95,4 százalékuk – ártalmasnak bizonyult. Ez komoly fenyegetést jelent a vállalatokra, ezért a sárga-fekete vállalat azt javasolja a rendszergazdáknak, hogy mindig frissítsék a PowerShellt a legújabb változatra, és engedélyezzék a kiterjesztett naplózást (logolást) és megfigyelést (monitoring). A rendszerek többségén ugyanis ezek alapértelmezettként ki vannak kapcsolva.
Rusnya kis dögök
A Symantec közlése szerint számos ártalmas feladatra felhasználó a PowerShell. Például a Trojan.Kotver anélkül tudja megfertőzni a Registry-t, hogy ahhoz bármilyen állományt használna. De scriptekkel eltávolíthatók a rendszer védő biztonsági termékek, észlelhetők az elemzésükre létrehozott virtuális homokozó környezetek, vagy akár jelszavak után is lehet kutakodni. A legjobb tehát megelőzni, hogy bejussanak a rendszerbe.
Adathelyreállítás pillanatok alatt
A vírus- és végpontvédelmet hatékonyan kiegészítő Zerto, a Hewlett Packard Enterprise Company platformfüggetlen, könnyen használható adatmentési és katasztrófaelhárítási megoldása.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak