Malware-Autoren nutzen immer häufiger PowerShell-Skripte

code-monitor (Bild: Shutterstock)

Kriminelle nutzen zunehmend PowerShell-Skripte für ihre Zwecke. Das Interesse ist auf die Flexibilität des Frameworks zurückzuführen, die es Angreifern erlaubt, Software nachzuladen, sich in einem kompromittierten Netzwerk zu bewegen oder es weiter auszuspähen.

Im Zuge der Analyse von Malware hat sich Symantec jetzt intensiver mit 111 Malware-Familien beschäftigt, die für ihre Zwecke PowerShell-Skripte benutzen. Grund dafür sind Symantec zufolge einerseits die weitreichenden Möglichkeiten und die Flexibilität von PowerShell, andererseits aber auch die Tatsache, dass unerlaubte Aktionen nur schwer zu entdecken sind.

Microsoft PowerShell wird von Administratoren seit über zehn Jahren genutzt um diverse Aufgaben zu steuern. Es ist standardmäßig auf Windows PCs installiert wird und hinterlässt nur wenige Spuren, die analysiert werden können. Grund dafür ist, dass die Payloads des Schadcodes direkt aus dem Datenspeicher heraus ausgeführt werden können. Außerdem aktivieren Symantec zufolge viele Unternehmen weder das Monitoring, noch erweiterte Anmeldeinformationen auf ihren PCs. Dadurch seien Gefahren durch PowerShell nur schwer zu erkennen.

Symantec-Experte Candid Wuest (Bild: Symantec)
Symantec-Experte Candid Wuest (Bild: Symantec)

Von allen durch Symantec analysierten PowerShell-Skripten, die von externen Quellen stammen, sind über 95 Prozent bedenklich. Als ein Beispiel für eine derartige Malware-Kampagne nennt Symantec die Trojaner Odinaff und Kotver. Während Odinaff verwendet wurde, um Finanzinstitute anzugreifen, gelang es den Angreifern mit dem Trojaner Kotver die Skripting-Sprache auszunutzen, um einen Angriff ohne verseuchte Datei auf die Registry auszuführen. Aus den Untersuchungen insgesamt folgert Symantec-Experte Candid Wüest, dass PowerShell-Skripte inzwischen eine bedeutende Gefahr für Unternehmen darstellen.

Die am weitesten verbreiteten Malware-Familien, die PowerShell nutzen, sind Wüest zufolge neben dem Trojaner Kotver derzeit W97M.Downloader und JS.Dwonloader. Verteilt werden sie vorrangig über Spam-Mails. Als neue Entwicklung hat Symantec bemerkt, dass die Skript-Malware mehrstufig arbeitet. Das heißt, das zuerst gelieferte Skript lädt zunächst ein weiteres nach und erst das sorgt dann für den Download der eigentlichen Malware. Angreifer versuchen so Sicherheitssysteme zu täuschen.

Mehr zum Thema

IBM und IoT – Alles dreht sich um Watson

Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.

Allerdings lassen sich bösartige PowerShell-Skripte auch verwenden, um im Zuge eines komplizierteren Angriffs weitere Aufgaben auszuführen, etwa Sicherheitsprodukte zu deinstallieren, festzustellen, ob eine Sandbox läuft oder um im Netzwerk nach Passwörtern zu suchen.

Symantec geht davon aus, dass PowerShell von Angreifern künftig noch intensiver genutzt wird. Das Unternehmen empfiehlt auf alle Fälle die jeweils neueste Version von PowerShell zu nutzen sowie Logging- und Monitoring-Funktionen anzuschalten.