Im Zuge der Analyse von Malware hat sich Symantec jetzt intensiver mit 111 Malware-Familien beschäftigt, die für ihre Zwecke PowerShell-Skripte benutzen. Grund dafür sind Symantec zufolge einerseits die weitreichenden Möglichkeiten und die Flexibilität von PowerShell, andererseits aber auch die Tatsache, dass unerlaubte Aktionen nur schwer zu entdecken sind.
Microsoft PowerShell wird von Administratoren seit über zehn Jahren genutzt um diverse Aufgaben zu steuern. Es ist standardmäßig auf Windows PCs installiert wird und hinterlässt nur wenige Spuren, die analysiert werden können. Grund dafür ist, dass die Payloads des Schadcodes direkt aus dem Datenspeicher heraus ausgeführt werden können. Außerdem aktivieren Symantec zufolge viele Unternehmen weder das Monitoring, noch erweiterte Anmeldeinformationen auf ihren PCs. Dadurch seien Gefahren durch PowerShell nur schwer zu erkennen.
Von allen durch Symantec analysierten PowerShell-Skripten, die von externen Quellen stammen, sind über 95 Prozent bedenklich. Als ein Beispiel für eine derartige Malware-Kampagne nennt Symantec die Trojaner Odinaff und Kotver. Während Odinaff verwendet wurde, um Finanzinstitute anzugreifen, gelang es den Angreifern mit dem Trojaner Kotver die Skripting-Sprache auszunutzen, um einen Angriff ohne verseuchte Datei auf die Registry auszuführen. Aus den Untersuchungen insgesamt folgert Symantec-Experte Candid Wüest, dass PowerShell-Skripte inzwischen eine bedeutende Gefahr für Unternehmen darstellen.
Die am weitesten verbreiteten Malware-Familien, die PowerShell nutzen, sind Wüest zufolge neben dem Trojaner Kotver derzeit W97M.Downloader und JS.Dwonloader. Verteilt werden sie vorrangig über Spam-Mails. Als neue Entwicklung hat Symantec bemerkt, dass die Skript-Malware mehrstufig arbeitet. Das heißt, das zuerst gelieferte Skript lädt zunächst ein weiteres nach und erst das sorgt dann für den Download der eigentlichen Malware. Angreifer versuchen so Sicherheitssysteme zu täuschen.
Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.
Allerdings lassen sich bösartige PowerShell-Skripte auch verwenden, um im Zuge eines komplizierteren Angriffs weitere Aufgaben auszuführen, etwa Sicherheitsprodukte zu deinstallieren, festzustellen, ob eine Sandbox läuft oder um im Netzwerk nach Passwörtern zu suchen.
Symantec geht davon aus, dass PowerShell von Angreifern künftig noch intensiver genutzt wird. Das Unternehmen empfiehlt auf alle Fälle die jeweils neueste Version von PowerShell zu nutzen sowie Logging- und Monitoring-Funktionen anzuschalten.
Ein elementarer Bestandteil einer effektiven Cloud-Strategie ist nach erfolgter Implementierung die künftige Verwaltung des Dienstes.
Die Neuerungen sollen den Digital Thread, die Low-Code-Entwicklung, die Visualisierung komplexer Baugruppen und das Lieferantenmanagement…
Eine Bitkom-Umfrage attestiert der Datenraum-Initiative des Bundes hohe Bekanntheit in der Industrie. Doch noch ist…
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…
Bad Bots richten nicht nur wirtschaftlichen Schaden an. Laut dem Bad Bot Report von Imperva…
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.
