Warum Angriffe durch Fileless Malware so einfach sind, man sich aber schützen kann.

Verfasst von Martin Frehe am 10.12.2018 13:07:41

PowerShell Core: Fluch oder Segen?

Die PowerShell dient Administratoren unter anderem dazu, Aufgaben unter Windows skriptgesteuert zu automatisieren. Mit der PowerShell Core wird dies nun auch unter Linux und macOS ermöglicht. Das bedeutet, dass ein Skript nun unter drei Betriebssystemen verwendet werden kann: Windows, Linux und macOS .

Hierdurch wird die tägliche Arbeit in heterogenen Netzwerken enorm vereinfacht. Der Administrator kann ein PowerShell Skript für seine Systeme verwenden, anstatt unterschiedliche Skriptvarianten wie Bash, Perl, AppleScript etc. pflegen zu müssen.

Mit der PowerShell Core wird aber auch einem Angreifer der Zugriff auf unterschiedliche Systeme erleichtert. Eine installierte PowerShell Core vorausgesetzt, kann der Angreifer nun plattformübergreifend seinen Angriffspunkt attackieren. Hierzu ist es nur nötig eine einfache Systemabfrage auszuführen, um das verwendete Betriebssystem zu erkennen. 

PowerShell

"This is Windows" erklärt mir mein System hier mit der kurzen Abfrage. Klasse! Dann lade ich mal schnell den richtigen Schadcode runter und führe aus:

PowerShell beispiel

Zack! So schnell geht das. 

Wer auf die Annehmlichkeiten von PowerShell nicht verzichten möchte, sollte folgende Punkte beachten:

1. Sichern Sie PowerShell mit den von Microsoft zur Verfügung gestellten Execution und Security Policies

Dies sollte eigentlich selbstverständlich sein. Jedoch sehe ich in der Praxis, dass es oft vergessen wird. 

2. Einstellungen in Ihrer Endpoint Security Lösung anpassen.

Als Trend Micro Consultant geht meine Empfehlung ganz klar zu OfficeScan. Hier aktivieren Sie die Verhaltensüberwachung, um das schadhafte Verhalten eines PowerShell Skriptes zu erkennen und zu unterbinden.

malicious behavior detection fileless malware

3. Zusätzlich ist der Einsatz von Sandboxing Technologien, um mutierten Schadcode schon im Vorfeld zu erkennen und in Quarantäne zu stellen, hilfreich.  Bei Trend Micro bietet sich hier der Deep Discovery Analyzer an.

Fazit

Die Frage nach Fluch oder Segen stellt sich nur bei schlechter Absicherung. PowerShell Core ist ein Tool, dass den Alltag ungemein erleichtert. Man muss sich nur über die Auswirkungen im Klaren sein und Maßnahmen treffen, die Fileless Angriffe verhindern können.

Themen: Trend Micro, OfficeScan, Deep Discovery Analyser, Bedrohungsschutz, Fileless malware