Im Zuge der Analyse von Malware hat sich Symantec jetzt intensiver mit 111 Malware-Familien beschäftigt, die für ihre Zwecke PowerShell-Skripte benutzen. Grund dafür sind Symantec zufolge einerseits die weitreichenden Möglichkeiten und die Flexibilität von PowerShell, andererseits aber auch die Tatsache, dass unerlaubte Aktionen nur schwer zu entdecken sind.
Microsoft PowerShell wird von Administratoren seit über zehn Jahren genutzt um diverse Aufgaben zu steuern. Es ist standardmäßig auf Windows PCs installiert wird und hinterlässt nur wenige Spuren, die analysiert werden können. Grund dafür ist, dass die Payloads des Schadcodes direkt aus dem Datenspeicher heraus ausgeführt werden können. Außerdem aktivieren Symantec zufolge viele Unternehmen weder das Monitoring, noch erweiterte Anmeldeinformationen auf ihren PCs. Dadurch seien Gefahren durch PowerShell nur schwer zu erkennen.
Von allen durch Symantec analysierten PowerShell-Skripten, die von externen Quellen stammen, sind über 95 Prozent bedenklich. Als ein Beispiel für eine derartige Malware-Kampagne nennt Symantec die Trojaner Odinaff und Kotver. Während Odinaff verwendet wurde, um Finanzinstitute anzugreifen, gelang es den Angreifern mit dem Trojaner Kotver die Skripting-Sprache auszunutzen, um einen Angriff ohne verseuchte Datei auf die Registry auszuführen. Aus den Untersuchungen insgesamt folgert Symantec-Experte Candid Wüest, dass PowerShell-Skripte inzwischen eine bedeutende Gefahr für Unternehmen darstellen.
Die am weitesten verbreiteten Malware-Familien, die PowerShell nutzen, sind Wüest zufolge neben dem Trojaner Kotver derzeit W97M.Downloader und JS.Dwonloader. Verteilt werden sie vorrangig über Spam-Mails. Als neue Entwicklung hat Symantec bemerkt, dass die Skript-Malware mehrstufig arbeitet. Das heißt, das zuerst gelieferte Skript lädt zunächst ein weiteres nach und erst das sorgt dann für den Download der eigentlichen Malware. Angreifer versuchen so Sicherheitssysteme zu täuschen.
Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.
Allerdings lassen sich bösartige PowerShell-Skripte auch verwenden, um im Zuge eines komplizierteren Angriffs weitere Aufgaben auszuführen, etwa Sicherheitsprodukte zu deinstallieren, festzustellen, ob eine Sandbox läuft oder um im Netzwerk nach Passwörtern zu suchen.
Symantec geht davon aus, dass PowerShell von Angreifern künftig noch intensiver genutzt wird. Das Unternehmen empfiehlt auf alle Fälle die jeweils neueste Version von PowerShell zu nutzen sowie Logging- und Monitoring-Funktionen anzuschalten.
Der Kauf von Dotmatics, Anbieter von F&E-Software, soll das PLM-Portfolio des Konzerns im Bereich Life…
Unternehmen wollen KI schnell einführen, doch dadurch entsteht Stückwerk, warnt Larissa Schneider von Unframe im…
Technische Schulden – Tech Debt – machen oft 20 bis 40 Prozent der Technologieressourcen aus,…
Obwohl 84 Prozent der Befragten Digitalisierung als entscheidenden Erfolgsfaktor sehen, hat gerade einmal die Hälfte…
Aus Sicht vieler Führungskräfte sind junge Talente oft unzureichend auf ihre Jobprofile vorbereitet, da sie…
Umfrage: Bürokratisches Beschaffungswesen, strikte Regulierung und fehlendes Risikokapital bremsen digitale Verteidigungs-Innovationen.
