Proof-of-Concept zum Missbrauch von PowerShell Core

Originalartikel von Michael Villanueva und John Sanchez, Threats Analysts

Bedrohungen, die PowerShell ausnutzen, steigen weiterhin an. Die Taktik hilft Angreifern dabei, Bankentrojaner, Backdoors, Ransomware und Krypto-Miner zu verteilen und in letzter Zeit auch dateilose Malware sowie bösartige Windows Management Instrumentation (WMI)-Einträge. Tatsächlich machen die Flexibilität und die vielen Fähigkeiten PowerShell zu einem mächtigen Tool für Cyberkriminelle. So kann es etwa dazu missbraucht werden, um Exploits und laterale Bewegungen im kompromittierten Netzwerk zu vereinfachen sowie Persistenz herzustellen.

Im Januar 2018 kündigte Microsoft die Verfügbarkeit von PowerShell Core an, eine plattformübergreifende, quelloffene Version von PowerShell. Zwar ist die Version derzeit noch in Entwicklung, doch kann davon ausgegangen werden, dass sie die Aufmerksamkeit der Cyberkriminellen erregen wird, denn sie kann neben Windows auch für den Einbruch in andere Plattformen missbraucht werden.

Sicherheitsforscher von Trend Micro untersuchten mögliche Strategien von Angreifern bei der Ausnutzung von PowerShell Core. Diese Proofs-of-Concept (PoCs) führen zu einem besseren Verständnis und somit zu mehr Möglichkeiten, viel genutzte Routinen und Verhaltensweisen zu erkennen und zu verhindern. PoCs für PowerShell Core wurden für Windows, Linux und mac OS durchgeführt. Die meisten, von den Sicherheitsforschern angewendeten Techniken sind von früheren Bedrohungen mit PowerShell-basierten Funktionen bekannt, so die dateilosen KOVTER– und POWMET-Schädlinge. Die Szenarien in den PoCs beruhen ebenfalls auf der von Cyberkriminellen genutzten PowerShell-Funktion.

Doch es gibt auch Hindernisse beim erfolgreichen Missbrauch von PowerShell Core. So ist PowerShell Core nicht standardmäßig auf jeder Plattform installiert. Das bedeutet, Malware-Autoren können nicht einfach eine Maschine ohne PowerShell Core hacken oder kompromittieren. Bei Unix und Unix-ähnlichen Betriebssystemen machen die Unterschiede im Dateisystem eine oder zwei zusätzliche Zeilen erforderlich, um eine Malware auszuführen. Technische Einzelheiten bezüglich des PoCs auf verschiedenen Plattformen und Vergleiche beinhaltet der Originalbeitrag.

Best Practices

Nutzer und Unternehmen sollten ihr Risiko reduzieren, indem sie für die Sicherheit Best Practices nutzen:

  • Setzen Sie Sicherheitsmechanismen wie Verhaltensmonitoring ein, um abweichende und bösartige Routinen oder Änderungen besser zu erkennen, zu überwachen und die Ausführung auf dem System zu verhindern. Ein gutes System für Verhaltensmonitoring blockiert nicht nur Malware-bezogene Routinen, sondern sollte auch in der Lage sein, ungewöhnliches Verhalten zu überwachen und zu verhindern, so etwa wenn PowerShell Core über ein bösartiges Makro in einem Dokument aufgerufen wird.
  • Implementieren Sie tiefgreifende Verteidigungsmechanismen: Eine Sandbox liefert eine zusätzliche Sicherheitsschicht gegen bösartige Skripts und Shellcode. Firewalls und auch Intrusion Detection and Prevention-Systeme helfen dabei, Verhaltensweisen wie Command-and-Control (C&C)-Kommunikation sowie Datenexfiltrierung zu verhindern.
  • Spielen Sie die neuesten Patches auf (oder nutzen Sie Virtual Patching), um die Ausnutzung von Schwachstellen zu verhindern.
  • Wenden Sie das Prinzip der „Least Privilege“ an: Schränken Sie die Nutzung der PowerShell und/oder PowerShell Core ein, oder sichern Sie diese; deaktivieren oder entfernen Sie nicht benötigte und veraltete Plug-ins bzw. Komponenten, um die Angriffsfläche der Systeme weiter zu reduzieren.

Diese Ergebnisse wurden als “One (S)hell of a Threat: Gateway to Other Platforms” auf der AVAR Conference, am 28. November  2018 in Goa, Indien präsentiert.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.