Powershell
Powershell в новостной повестке, календарь упоминаний и aналитика в реальном времени.
Календарь упоминаний:
PowerShell как инструмент обхода защиты и кражи данных
Вредоносное ПО DeepLoad использует PowerShell для проведения безфайловых атак, убеждая жертв выполнять команды, которые запускают компрометацию системы. Поскольку стандартные антивирусы не обнаруживают угрозы, не связанные с файловыми сигнатурами, злоумышленники получают возможность закрепиться в системе и установить связь с серверами атакующих через легитимные инструменты. Это позволяет им обходить программные фильтры и красть учетные данные, особенно в корпоративном секторе.
Распространение вредоносного кода через команды PowerShell
В ходе атаки злоумышленники используют команду PowerShell для запуска вредоносного файла с расширением .proj с помощью утилиты MSBuild.exe. Это позволяет им загрузить и запустить шпионское ПО DCRat, которое обеспечивает удалённый доступ, запись нажатий клавиш и загрузку дополнительных вредоносных нагрузок. Для выполнения команды пользователю инструктируют открыть диалоговое окно «Выполнить» и ввести вредоносную команду, что делает PowerShell ключевым инструментом в сценарии атаки. Утилита MSBuild.exe используется для маскировки вредоносной активности, а PowerShell обеспечивает выполнение необходимых действий в системе.
Распространение вредоносного ПО через PowerShell
PowerShell используется злоумышленниками для выполнения команд, расшифровки скрытых нагрузок и запуска вредоносного кода без активного срабатывания систем безопасности. Атакующие объединяют его с другими встроенными инструментами Windows, такими как MSBuild, чтобы минимизировать вероятность обнаружения. В некоторых случаях PowerShell применяется для запуска скриптов, встроенных в изображения или архивы, что позволяет скрытно установить удалённый доступ и красть данные.
Powershell имеет 3 записи событий в нашей базе.