Rengeteg PowerShell script ártalmas, ezért a hamarosan bekövetkező nagy Windows frissítés komoly biztonsági kérdéseket vet fel.

A Microsoft PowerShellje az ártalmas kódok mennyországa lesz, állítja a Symantec. Az IT-biztonsággal foglalkozó vállalat döbbenetes méretű növekedést mért az ebben a közegben létező malware-ek tekintetében.

Erő a Héjban

Átlagfelhasználóként nem is találkozik a monitor előtt ülő mással a Windows használatakor, csak az ilyen-olyan grafikus felületekkel. Jobb felső sarokban levő X-szel bezárja a futó alkalmazást, programokat indítani az Asztalról vagy a Start Menüből szokott, és így tovább. Pedig a redmondi operációs rendszer nem csak grafikus kezelőfelületen keresztül működtethető, hanem parancssoros üzemmódban is.

Egy egyszerű IP-cím pingelést (vagy hálózati beállítások lekérdezését és így tovább) nagyon egyszerűen le lehet futtatni a Command Shellen keresztül, a kicsit tapasztaltabb felhasználók zömének nem is volt szüksége többre. A Microsoft azonban nemrég úgy döntött, hogy száműzi ezt a funkciót, és helyette a szinte napra pontosan tíz éve létező PowerShell veszi át a helyét. Annyira komolyan gondolta ezt a szoftverfejlesztő vállalat, hogy amikor a Creators Edition – azaz a Windows 10 következő nagy frissítése – megjelenik 2017-ben, akkor a funkcióbővítésekkel párhuzamosan ezt a váltást is lezavarja.

Egyrészről nem lesz akkora a váltás, hiszen, mint írtuk, már egy évtizede elérhető az újabb Windows-okban, akár most, ezen sorok olvasásakor is elő tudja csalni az olvasó a Start billentyű és a „PowerShell” szó begépelésével. Másrészről azonban komoly biztonsági kockázatot hordoz ez a váltás, a Symantec szerint az online bűnözők már ugrásra készen várják a cserét.

Intő jelek

Már 2014-ben arról írtunk, hogy a Symantec és a Trend Micro víruskutatói felfigyeltek arra, hogy a kártékony programok működésében és terjesztésében egyre gyakrabban szerepet kap a PowerShell parancssori környezet. A védekezés ezek ellen a károkozók ellen éppen azért nehéz, mert a támadók teljesen legális szoftverek segítségével hajtják végre a támadást. Akkori tanácsunk ma fokozottan érvényes: a PowerShell-t (és bármilyen más parancsfájlt is) csak kellő körültekintéssel szabad futtatni, és a PowerShell biztonsági beállításait is érdemes minél erősebbre venni.

Tavaly aztán kiderült, hogy felpörgött a PowerShell malware-ek terjedése. Mivel a hagyományos támadások sok nyomot hagynak, így forensic vizsgálatokkal viszonylag könnyen feltérképezhetők. Ezért vált egyre népszerűbbé a támadók körében a PowerShell, hiszen kódjai úgy is bejuttathatók a memóriába, majd lefuttathatók, hogy közben nem kerülnek a merevlemezre. Ez pedig csökkenti a feltárható bizonyítékok számát; így többek között a ransomware kártevők is hatékony segítséget kaptak.

A Symantec nemrég elvégzett sandbox tesztje szerint pedig az általa vizsgált scriptek szinte mindegyike – egészen pontosan 95,4 százalékuk – ártalmasnak bizonyult. Ez komoly fenyegetést jelent a vállalatokra, ezért a sárga-fekete vállalat azt javasolja a rendszergazdáknak, hogy mindig frissítsék a PowerShellt a legújabb változatra, és engedélyezzék a kiterjesztett naplózást (logolást) és megfigyelést (monitoring). A rendszerek többségén ugyanis ezek alapértelmezettként ki vannak kapcsolva.

Rusnya kis dögök

A Symantec közlése szerint számos ártalmas feladatra felhasználó a PowerShell. Például a Trojan.Kotver anélkül tudja megfertőzni a Registry-t, hogy ahhoz bármilyen állományt használna. De scriptekkel eltávolíthatók a rendszer védő biztonsági termékek, észlelhetők az elemzésükre létrehozott virtuális homokozó környezetek, vagy akár jelszavak után is lehet kutakodni. A legjobb tehát megelőzni, hogy bejussanak a rendszerbe.

Biztonság

Még az idén jön az első repülő taxi

Legalábbis az Airbus ezt szeretné, a cég már ebben az évben összehozná az egyetlen utast szállító, önvezető légi taxi éles tesztjét.
 
Inspiráló munkakörnyezet, kreatív szakmai kihívások és csak ezután következne a bér? Utánajártunk, mit várnak el a hazai IT-szakemberek a mai munkaerőpiacon?

a melléklet támogatója az IThon.info

Hirdetés

Iránytű az IT piac kihívásaira

Mi lehet az alternatíva az informatikus munkaerőhiány csökkentésére, ha már a telefont szinte fel sem veszik, a LinkedIn-ről pedig leiratkoznak az IT szakemberek a túlontúl sok hasonló megkeresés miatt?

A VISZ az Infotér konferencián tárgyalta ki az IT-szakma képzési és munkaerő-piaci problémáit oktatási szakértők és cégvezetők segítségével.

2 millió forinttal díjazza a VISZ a legjobb középiskolát

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Másfél év alatt vált le a Budapest Bank szervezete a GE Capitalról. A folyamatban nagy szerepet kaptak a helyi szállítók is. Kelemen Bálint informatikai vezető (Budapest Bank) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2016 Bitport.hu Média Kft. Minden jog fenntartva.