Windows PowerShell может позволить вирусам проникать незамеченными
PowerShell не является исключением, и злоумышленники нашли способы использовать его, чтобы посеять хаос на компьютерах людей.
Всякий раз, когда инструмент Windows получает повышенный доступ к компьютеру, кто-то идет по горячим следам, пытаясь найти способ использовать его для запуска вредоносного ПО на системах других пользователей.
Но что такое PowerShell и как его можно использовать не по назначению?
Что такое PowerShell в Windows?
Windows PowerShell может позволить вирусам проникать незамеченными. Рисунок 1
Windows PowerShell — это расширенный инструмент настройки и автоматизации. Вы можете использовать его для выполнения команд по настройке вашей системы или запуска автоматизированных скриптов, которые выполняют для вас сложные задачи.
Поскольку PowerShell имеет системные разрешения на изменение важных настроек на вашем ПК или запуск системно-чувствительных скриптов, злоумышленники найдут способы заставить его выполнить вредоносный код. Но прежде чем мы перейдем к тому, как его можно использовать не по назначению, важно отметить, что сам PowerShell не является вредоносным приложением. Это основная часть Windows, которую нельзя отключить.
Что делает PowerShell таким опасным?
Windows PowerShell может позволить вирусам проникать незамеченными, рисунок 2
Когда злоумышленник хочет злоупотребить PowerShell, он обычно делает одно из двух: обманывает людей, заставляя их выполнить вредоносный код в PowerShell, или создает файл, который при открытии запускает вредоносный скрипт.
Злоумышленники убеждают людей выполнять команды
Во-первых, давайте рассмотрим, когда злоумышленник обманывает кого-то, заставляя его выполнить команду PowerShell. Эта тактика обычно заключается в том, чтобы запугать жертву, заставив ее поверить, что ей нужно выполнить команду PowerShell для исправления несуществующей проблемы.
По данным The Register, одна из таких тактик заключается в том, что злоумышленники взламывают легитимные веб-сайты и изменяют их, чтобы отображать поддельные сообщения об ошибках. В ошибке говорится, что что-то не так с копией Windows, Google Chrome, Office или OneDrive пользователя. Чтобы исправить «проблему», поддельная ошибка предлагает пользователю запустить команду PowerShell для ее устранения.
Конечно, предоставленный код ничего не исправляет. Вместо этого он говорит PowerShell подключиться к серверу, загрузить вредоносный исполняемый файл с внешнего сервера и запустить его. Один из экземпляров этой атаки использовал PowerShell для загрузки дроппера, который затем загрузил пять других штаммов вредоносного ПО на целевой ПК.
Еще один вариант этой «инициированной пользователем» атаки PowerShell был замечен при отправке по электронной почте. В письмо включен HTML-файл, разработанный так, чтобы выглядеть как Microsoft Word. При открытии он заявляет, что не может отображать информацию в документе Word, поскольку расширение перестало работать. Затем пользователю предлагается скопировать и вставить вредоносный код в PowerShell, чтобы исправить ошибку, или загрузить вредоносный файл, который выполняет эту работу за злоумышленника.
Вредоносный файл использует PowerShell для запуска бесфайлового вредоносного ПО
Более страшная версия атаки PowerShell использует вредоносное ПО без файлов для атаки на цель. Это использует PowerShell для выполнения вредоносных задач без загрузки каких-либо файлов на ПК жертвы. Если вредоносное ПО не загружает никаких файлов, оно не позволяет антивирусному программному обеспечению обнаружить его, что затрудняет его поиск и удаление.
Этот метод атаки часто маскирует файл LNK, содержащий вредоносный скрипт, под другой файл. В примере с нелегальным фильмом файл LNK был изменен так, чтобы выглядеть как видеофайл, чтобы обманом заставить людей запустить его.
Как избежать атак PowerShell
Проблема с принятием мер по предотвращению атак PowerShell заключается в том, что существуют легитимные исправления, требующие ввода команд в PowerShell, поэтому перед вводом команды следует не торопиться и подумать, насколько надежен источник.
Если вы ищете исправление и находите авторитетный и заслуживающий доверия веб-сайт, который говорит, что вам следует использовать команду, то вы можете запустить эту команду. Если эта команда приходит к вам из поддельного сообщения об ошибке, призванного напугать вас, то она нанесет ущерб.
Если вы видите команду и не уверены, что она делает, попробуйте поискать ее в Интернете. Если она полезна, вы увидите результаты от других людей, рекомендующих ее. Если вы ничего не найдете (или даже увидите, что кто-то сообщает о ней как о вредоносной), то, вероятно, не стоит ее запускать.
Если вы случайно стали жертвой атаки PowerShell, вы можете попытаться найти лучшие антивирусные программы для удаления вредоносного ПО. Однако, как упоминалось ранее, атаки PowerShell сделают все возможное, чтобы остаться незамеченными. Если вы заметили что-то необычное после запуска команды PowerShell, лучше всего переустановить операционную систему, чтобы убедиться, что все чисто.
PowerShell — удобный инструмент, который дает вам расширенный контроль над вашим ПК. Однако некоторые негодяи пытаются обманом заставить людей использовать его в нехороших целях. К счастью, если вы будете бдительны, вы сможете избежать атаки.
Мика Сото
Обновление 26 сентября 2024 г.