Többek között a Symantec és a Trend Micro víruskutatói is felfigyeltek arra, hogy a kártékony programok működésében és terjesztésében egyre gyakrabban kapnak szerepet olyan technológiák, amelyek a mindennapi életben a felhasználók és az informatikusok számára is jó szolgálatot tesznek. A két új sztár a PowerShell parancssori környezet és az anonimitást biztosító Tor – írja a Biztonságportál.

A rejtőzködés mestere

A Symantec szakemberei fedezték fel azt a trójait, amely a PowerShell hasznos funkcióit használja fel károkozásra. A trójai első lépésként beinjektálja egy rundll32.exe folyamatba az ártalmas kódjait, hogy elrejtőzhessen. A Windows folyamatát azonban nem közvetlenül fertőzi meg, ugyanis a lényegi kódja titkosított formában jut fel a számítógépekre. A dekódolást követően egy tömörített adathalmaz áll elő, amelynek kibontását követően bekerülhet a memóriába a támadások végrehajtását elősegítő kód.

Azért használják ezt a többlépcsős folyamatot, hogy a vírusvédelmi alkalmazás vagy a PowerShell scriptbe betekintő felhasználó minél kisebb valószínűséggel fogjon gyanút. Amikor a trójai elindul, csatlakozik egy távoli kiszolgálóhoz, és onnan fogadja a támadók parancsait, melyeket rögtön feldolgoz és végrehajt, amivel távolról vezérelhetővé, kompromittálhatóvá teszi a fertőzött rendszert.

A módszer azért különösen veszélyes, mert a PowerShell a Windows 7, illetve a Windows Server 2008 R2 óta az operációs rendszer része. A Windows XP, a Windows Vista, a Windows Server 2003 és a Windows Server 2008 esetében külön kell telepíteni.

A Crigent a felhőt is használja

A Trend Micro kutatói szintén találtak egy a PowerShell "erejét" kihasználó károkozót. A Crigent vagy más néven Power Worm nevű féreg Word és Excel fájlok révén próbál terjedni. Ha egy fertőzött dokumentumot vagy munkafüzetet megnyit a felhasználó, akkor a károkozó előtt szabaddá válik az út.

Először megpróbál interneten keresztül beszerezni további állományokat. E fájlokat a vírusterjesztők legtöbbször a Microsoft OneDrive vagy a Dropbox szolgáltatáson keresztül teszik elérhetővé, tehát a féreg legális felhős szolgáltatásokból tudja letölteni az egyes összetevőit. Ezt követően rendszerinformációkat gyűjt össze, majd szivárogtat ki, amivel egyúttal értesíti is a terjesztőit a fertőzés megtörténtéről, illetve az áldozatául esett PC legfontosabb paramétereiről. A kártékony program a hálózati kommunikációja során felhasználja a Tor által nyújtott lehetőségeket, illetve egy Polipo proxy komponenst is feltelepít a rendszerekre.

A Crigent úgy okoz károkat , hogy PowerShell scriptek segítségével megfertőzi a számítógépen tárolt összes .xls és .doc kiterjesztésű fájlt, amivel biztosítja a további terjedését. A manipulációival használhatatlanná teszi a fertőzött fájlokat, amik – biztonsági mentések hiányában – örökre elveszhetnek. A féreg PowerShell scriptek segítségével oldja meg azt is, hogy a Word és Excel alkalmazások ne jelenítsenek meg biztonsági figyelmeztetéseket, és hogy a makrókat lehetőleg felhasználói beavatkozás nélkül lefuttassák.

A védekezés kulcsa: figyelem, fegyelem!

A védekezés ezek ellen a károkozók ellen éppen azért nehéz, mert a támadók teljesen legális szoftverek segítségével hajtják végre a támadást. A védekezésnél alap naprakész víruskeresők, de igazán hatékonyan csak a korszerű technológiákkal felvértezett biztonsági szoftverekkel lehet védekezni, olyanokkal, amelyek például a viselkedésalapú, heurisztikus eljárásokat is támogatják.

Mindezek mellett a PowerShell-t, de bármilyen más parancsfájlt is csak kellő körültekintéssel szabad futtatni, és a PowerShell biztonsági beállításait is érdemes minél erősebbre venni.

_{(A cikk a Biztonságportálon megjelent írás szerkesztett változata.)}