Im Zuge der Analyse von Malware hat sich Symantec jetzt intensiver mit 111 Malware-Familien beschäftigt, die für ihre Zwecke PowerShell-Skripte benutzen. Grund dafür sind Symantec zufolge einerseits die weitreichenden Möglichkeiten und die Flexibilität von PowerShell, andererseits aber auch die Tatsache, dass unerlaubte Aktionen nur schwer zu entdecken sind.
Microsoft PowerShell wird von Administratoren seit über zehn Jahren genutzt um diverse Aufgaben zu steuern. Es ist standardmäßig auf Windows PCs installiert wird und hinterlässt nur wenige Spuren, die analysiert werden können. Grund dafür ist, dass die Payloads des Schadcodes direkt aus dem Datenspeicher heraus ausgeführt werden können. Außerdem aktivieren Symantec zufolge viele Unternehmen weder das Monitoring, noch erweiterte Anmeldeinformationen auf ihren PCs. Dadurch seien Gefahren durch PowerShell nur schwer zu erkennen.
Von allen durch Symantec analysierten PowerShell-Skripten, die von externen Quellen stammen, sind über 95 Prozent bedenklich. Als ein Beispiel für eine derartige Malware-Kampagne nennt Symantec die Trojaner Odinaff und Kotver. Während Odinaff verwendet wurde, um Finanzinstitute anzugreifen, gelang es den Angreifern mit dem Trojaner Kotver die Skripting-Sprache auszunutzen, um einen Angriff ohne verseuchte Datei auf die Registry auszuführen. Aus den Untersuchungen insgesamt folgert Symantec-Experte Candid Wüest, dass PowerShell-Skripte inzwischen eine bedeutende Gefahr für Unternehmen darstellen.
Die am weitesten verbreiteten Malware-Familien, die PowerShell nutzen, sind Wüest zufolge neben dem Trojaner Kotver derzeit W97M.Downloader und JS.Dwonloader. Verteilt werden sie vorrangig über Spam-Mails. Als neue Entwicklung hat Symantec bemerkt, dass die Skript-Malware mehrstufig arbeitet. Das heißt, das zuerst gelieferte Skript lädt zunächst ein weiteres nach und erst das sorgt dann für den Download der eigentlichen Malware. Angreifer versuchen so Sicherheitssysteme zu täuschen.
Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.
Allerdings lassen sich bösartige PowerShell-Skripte auch verwenden, um im Zuge eines komplizierteren Angriffs weitere Aufgaben auszuführen, etwa Sicherheitsprodukte zu deinstallieren, festzustellen, ob eine Sandbox läuft oder um im Netzwerk nach Passwörtern zu suchen.
Symantec geht davon aus, dass PowerShell von Angreifern künftig noch intensiver genutzt wird. Das Unternehmen empfiehlt auf alle Fälle die jeweils neueste Version von PowerShell zu nutzen sowie Logging- und Monitoring-Funktionen anzuschalten.
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.
Mit KI können Unternehmen der Paketbranche Prozesse optimieren, Kosten einsparen und sich zukunftssicher aufstellen.
Land Niedersachsen schließt datenschutzrechtliche Vereinbarung mit Microsoft zur Nutzung von Teams ab.
Ein Großteil der Inventurdifferenzen im deutschen Einzelhandel wird durch Ladendiebstähle verursacht.
DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und…
Lieferkettenplanung in Deutschland auf Basis von Excel bei 37 Prozent der befragten Unternehmen im Einsatz.
