Symantec menganalisis 111 ancaman yang menggunakan PowerShell, menemukan bahwa mereka memanfaatkan framework tersebut untuk mengunduh payloads dan menyusup melalui jaringan.
Oleh: Candid Wueest
Skrip Powershell berbahaya sedang merajalela karena peretas memanfaatkan fleksibilitas framework tersebut untuk mengunduh payloads, menyusup melalui sebuah jaringan yang diretas, dan melakukan pengintaian. Symantec menganalisis contoh-contoh malware PowerShell untuk mengetahui bahaya yang ditimbulkan oleh malware tersebut.
Dari semua scripts PowerShell yang dianalisis melalui sandbox BlueCoat Malware Analysis, 95.4 persen script berbahaya. Hal ini menunjukkan bahwa script PowerShell bersumber dari luar merupakan sebuah ancaman besar bagi perusahaan.
Ancaman PowerShell sedang merajalela: 95.4% scripts yang dianalisis oleh Symantec berbahaya Klik untuk POSTING DI twitter
PowerShell – bahasa scripting bagi semua orang
Microsoft PowerShell merupakan bahasa scripting yang kuat dan shell framework yang umumnya digunakan pada komputer dengan OS Windows. Microsoft PowerShell telah digunakan selama lebih dari 10 tahun dan akan menggantikan default command prompt pada Windows di masa depan. Saat banyak admin sistem menggunakan script PowerShell untuk tugas-tugas manajemen harian, kami melihat peretas semakin sering menggunakan framework tersebut untuk kampanye mereka.
Banyak serangan yang ditargetkan baru-baru menggunakan script PowerShell. Contohnya, kelompok Odinaff menggunakan script PowerShell berbahaya ketika menyerang institusi-institusi keuangan. Penjahat siber umum juga memanfaatkan PowerShell, seperti peretas di balik serangan Trojan.Kotver yang menggunakan bahasa scripting untuk menciptakan infeksi fileless yang tersembunyi dalam registrasi.
PowerShell dipasang standar pada sebagian besar komputer berbasis Windows, dan sebagian besar perusahaan tidak mengaktifkan logging lebih luas untuk kerangka tersebut. Dua faktor ini menjadikan PowerShell alat serangan yang disukai. Lebih lanjut, script dapat dengan mudah disamarkan dan memungkinkan untuk payload untuk dieksekusi secara langsung dari memori.
Kemunculan PowerShell Berbahaya
Kami telah melihat sebagian besar script PowerShell berbahaya yang digunakan sebagai downloaders, seperti Office macros, dan selama fase pergerakan lateral, ketika sebuah ancaman mengeksekusi kode pada komputer jarak jauh ketika tersebar di dalam jaringan.
Keluarga malware yang paling umum yang menggunakan PowerShell saat ini antara lain:
- W97M.Downloader (9,4 persen dari semua contoh yang dianalisis)
- Trojan.Kotver (4,5 persen)
- JS.Downloader (4,0 persen)
Ketiga ancaman ini telah disebarkan dalam email spam.
Selama 6 bulan terakhir, kami telah memblokir rata-rata 446.028 email dengan JavaScript berbahaya per hari, dan tren ini meningkat. Tidak semua file JavaScript berbahaya menggunakan PowerShell untuk mengunduh file, namun kami telah melihat peningkatan yang stabil dalam penggunaan framework tersebut.
Beberapa serangan downloader terbaru yang menggunakan PowerShell bekerja melalui beberapa tahapan, dimana script yang dilampirkan mengunduh script yang lain, yang pada akhirnya menggunduh payload. Peretas menggunakan metode infeksi yang rumit ini sebagai upaya untuk menghindari sistem keamanan.
Terlepas dari mengunduh payloads, script PowerShell berbahaya telah digunakan untuk melakukan berbagai tugas seperti menghapus produk keamanan, mendeteksi lingkungan sandboxed, atau menyusup ke jaringan untuk meretas password.
Menyamarkan script yang berbahaya
Fleksibilitas bahasa PowerShell memungkinkan script untuk disamarkan dalam berbagai cara, seperti shortcut, penyembunyian karakter, atau encoding fungsi.
Contoh, berikut ini adalah script sederhana yang mengunduh dan mengeksekusi file-file remote:
Kami telah melihat peretas menggunakan pengelabuan dasar untuk mengubah perintah yang sama menjadi seperti berikut ini:
Namun, dari 111 ancaman yang menggunakan PowerShell, hanya 8 persen ancaman yang menggunakan beberapa taktik seperti campuran huruf. Tak satu pun ancaman mengacak urutan argumen perintah. Argumen command-line PowerSell yang paling umum digunakan adalah “NoProfile” (34 persen), “WindowStyle” (24 persen), dan “ExecutionPolicy” (23 persen).
Perlindungan
Symantec memperkirakan ancaman PowerShell akan muncul lebih banyak di masa mendatang. Kami sangat merekomendasikan administrator sistem untuk memperbarui versi PowerShell terbaru dan mengaktifkan logging yang lebih besar dan kemampuan pemantauan.
Pelanggan Symantec dan Norton terlindungi dari ancaman PowerShell melalui pendekatan keamanan kami yang berlapis:
- Deteksi Antivirus dan Intrusin Prevention System (IPS) digunakan untuk setiap ancaman
- Deteksi berbasis perilaku memblokir proses-proses yang mencurigakan menggunakan seri pendeteksi SONAR
- Layanan yang memfilter email seperti Symantec Email Security.cloud dapat memblokir email-email yang berhubungan dengan serangan-serangan ini sebelum mereka dapat menjangkau pengguna
- Teknologi Disarm dari Symantec Messaging Gateway juga dapat melindungi komputer dari banyak serangan yang dibawa email dengan menghilangkan konten-konten berbahaya dari lampiran-lampiran dokumen sebelum dibuka oleh pengguna
- Bluecoat Malware Analysis sandbox menggunakan sebuah pendekatan deteksi ganda yang kuat yang menggabungkan virtualisasi dan emulasi untuk mendeteksi perilaku-perilaku berbahaya
- Solusi-solusi Perlindungan Ancaman Canggih Symantec memungkinkan pelanggan untuk menemukan serangan-serangan yang bisa menghindari deteksi
- Layanan Keamanan Siber Symantec dapat membantu perusahaan-perusahaan mendapatkan tingkat keamanan yang lebih tinggi dengan para ahli terkemuka kami untuk mengatasi ancaman-ancaman global dan intelejen musuh, pemantauan ancaman canggih, kesiapan terhadap ancaman siber, dan tanggap peristiwa.
Jika Anda ingin mempelajari lebih lanjut tentang ancaman PowerShell, silahkan baca laporan kami: Peningkatan Penggunaan PowerShell untuk melancarkan serangan