پاورشل مخرب (Malicious PowerShell)

توالی‌های حمله‌ای که از PowerShell همیشه محبوب – یک ابزار خط فرمان و اسکریپت توسعه‌یافته توسط مایکروسافت – بهره‌برداری می‌کنند، به لطف توانایی خود در انتشار ویروس‌ها در یک شبکه، به طور فزاینده‌ای در حال افزایش هستند. یک ربات ترفند بانکی بدنام که مشتریان بانک‌های بزرگ را هدف قرار می‌داد، برای انجام حملات خود به ابزاری متکی بود، و گروه تهدید Advanced Persistent Threat 29 (همچنین به عنوان Cozy Bear شناخته می‌شود) حمله مفصلی را با یک عنصر PowerShell انجام داد.

آنچه شما باید بدانید:
PowerShell یک ابزار خط فرمان است که بر روی دات نت ساخته شده است (تلفظ می شود “دات نت”)، که به مدیران و کاربران اجازه می دهد تنظیمات سیستم را تغییر داده و وظایف را به طور خودکار انجام دهند. رابط خط فرمان CLI طیف وسیعی از ابزارها و انعطاف پذیری را ارائه می دهد که آن را به یک پوسته و زبان برنامه نویسی محبوب تبدیل می کند. متأسفانه، بازیگران بد نیز مزایای PowerShell را تشخیص داده‌اند – یعنی اینکه چگونه می‌توان به‌عنوان نقطه پایانی کد، روی یک سیستم به‌عنوان نقطه پایانی کد، به‌طور غیرقابل شناسایی عمل کرد و اقداماتی را در پشت صحنه انجام داد.

حمله چگونه اتفاق می‌افتد:
از آنجایی که PowerShell یک زبان برنامه‌نویسی است که روی اکثر ماشین‌های سازمانی اجرا می‌شود – و از آنجایی که اکثر شرکت‌ها نقاط انتهایی کد را نظارت نمی‌کنند – منطق پشت این نوع حمله کاملاً واضح است. دسترسی به آن آسان است و حتی نفوذ مهاجمان در سیستم آسان تر است. بدافزار برای اجرا یا اجرای اسکریپت مخرب نیازی به نصب ندارد. این بدان معنی است که هکر می تواند بدون زحمت از شناسایی دور بزند، تجزیه و تحلیل فایل های اجرایی را دور بزند و در اوقات فراغت خود آسیب آنها را وارد کند.

حمله از کجا می آید:
این نوع حمله نسبت به روش های دیگر پیچیده تر است و معمولاً توسط یک هکر قدرتمند که دقیقاً می داند چه کاری انجام می دهد (در مقابل یک آماتور که ممکن است به حملات brute force متوسل شود) انجام می شود. همیشه در رویکرد خود مخفیانه هستند، آنها در پوشاندن مسیرهای خود ماهر هستند و می دانند که چگونه به صورت جانبی در یک شبکه حرکت کنند.

:references

https://www.splunk.com