Im Zuge der Analyse von Malware hat sich Symantec jetzt intensiver mit 111 Malware-Familien beschäftigt, die für ihre Zwecke PowerShell-Skripte benutzen. Grund dafür sind Symantec zufolge einerseits die weitreichenden Möglichkeiten und die Flexibilität von PowerShell, andererseits aber auch die Tatsache, dass unerlaubte Aktionen nur schwer zu entdecken sind.
Microsoft PowerShell wird von Administratoren seit über zehn Jahren genutzt um diverse Aufgaben zu steuern. Es ist standardmäßig auf Windows PCs installiert wird und hinterlässt nur wenige Spuren, die analysiert werden können. Grund dafür ist, dass die Payloads des Schadcodes direkt aus dem Datenspeicher heraus ausgeführt werden können. Außerdem aktivieren Symantec zufolge viele Unternehmen weder das Monitoring, noch erweiterte Anmeldeinformationen auf ihren PCs. Dadurch seien Gefahren durch PowerShell nur schwer zu erkennen.
Von allen durch Symantec analysierten PowerShell-Skripten, die von externen Quellen stammen, sind über 95 Prozent bedenklich. Als ein Beispiel für eine derartige Malware-Kampagne nennt Symantec die Trojaner Odinaff und Kotver. Während Odinaff verwendet wurde, um Finanzinstitute anzugreifen, gelang es den Angreifern mit dem Trojaner Kotver die Skripting-Sprache auszunutzen, um einen Angriff ohne verseuchte Datei auf die Registry auszuführen. Aus den Untersuchungen insgesamt folgert Symantec-Experte Candid Wüest, dass PowerShell-Skripte inzwischen eine bedeutende Gefahr für Unternehmen darstellen.
Die am weitesten verbreiteten Malware-Familien, die PowerShell nutzen, sind Wüest zufolge neben dem Trojaner Kotver derzeit W97M.Downloader und JS.Dwonloader. Verteilt werden sie vorrangig über Spam-Mails. Als neue Entwicklung hat Symantec bemerkt, dass die Skript-Malware mehrstufig arbeitet. Das heißt, das zuerst gelieferte Skript lädt zunächst ein weiteres nach und erst das sorgt dann für den Download der eigentlichen Malware. Angreifer versuchen so Sicherheitssysteme zu täuschen.
Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.
Allerdings lassen sich bösartige PowerShell-Skripte auch verwenden, um im Zuge eines komplizierteren Angriffs weitere Aufgaben auszuführen, etwa Sicherheitsprodukte zu deinstallieren, festzustellen, ob eine Sandbox läuft oder um im Netzwerk nach Passwörtern zu suchen.
Symantec geht davon aus, dass PowerShell von Angreifern künftig noch intensiver genutzt wird. Das Unternehmen empfiehlt auf alle Fälle die jeweils neueste Version von PowerShell zu nutzen sowie Logging- und Monitoring-Funktionen anzuschalten.
LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…
Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…
Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…
Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…
Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.
Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…
