Pour gérer vos consentements :

L’utilisation malveillante de Windows PowerShell augmente

L’interpréteur de ligne de commande Windows PowerShell de Microsoft est largement utilisé par les administrateurs système. Il l’est aussi par les attaquants, Symantec en témoigne dans un livre blanc. Les échantillons étudiés représentent un total de 111 familles de programmes malveillants utilisant PowerShell. Et, 95,4 % des scripts Windows PowerShell analysés sont malveillants, selon Symantec.

« Au cours des trois derniers mois, nous avons bloqué une moyenne de 466 028 emails avec des fichiers JavaScript malveillants par jour. Et 211 235 macros Word corrompues (W97M.Downloader) par jour sur les terminaux », indique l’éditeur de sécurité. Dans ce domaine, les malwares W97M.Downloader (9,4 % des échantillons analysés), Trojan.Kotver (4,5 %) et JS.Downloader (4 %) sont les plus répandus. Par ailleurs, outre le téléchargement de charges utiles, des scripts PowerShell malveillants sont utilisés pour effectuer d’autres tâches, dont la désinstallation de produits de sécurité, la détection d’environnements de test « sandboxed » ou encore la recherche de mots de passe sur un réseau.

Symantec rappelle que plusieurs cyberattaques d’ampleur récentes ont utilisé des scripts PowerShell. C’est le cas, par exemple, d’attaques contre des organisations financières et des utilisateurs du réseau interbancaire SWIFT.  Ces attaques auraient été menées par un groupe de pirates à l’origine du cheval de Troie Odinaff,  présentant des similitudes avec le programme Carbanak. D’autres attaquants encore s’appuient  sur Trojan.Kotver. Ce programme utilise le langage de script pour créer une infection sans fichier intégrée dans le registre…

Outil d’attaque privilégié

« Si de nombreux administrateurs système utilisent les scripts PowerShell pour la gestion de tâches quotidiennes, nous constatons également que des attaquants les utilisent de plus en plus dans le cadre de leurs campagnes », explique dans un billet de blog Candid Wueest, chercheur chez Symantec.

« PowerShell est installé par défaut sur la plupart des ordinateurs Windows, et la plupart des organisations n’ont pas la journalisation étendue activée pour le framework, ajoute-t-il. Ces deux facteurs font de PowerShell un outil d’attaque privilégié. De plus, les scripts peuvent facilement être occultés et permettre aux charges utiles d’être exécutées directement depuis la mémoire ». PowerShell permet aussi un accès distant par défaut et laisse peu de traces exploitables. Ce sont autant d’avantages pour les pirates.

Dans ce contexte, Symantec recommande aux sysdamins d’opter pour la version la plus récente de PowerShell, de ne pas omettre les mises à jour et d’activer la journalisation étendue. Dans un bulletin publié en début d’année, le CERT-FR recommandait lui-même de « journaliser l’exécution de commandes ou scripts PowerShell ». Une action qui « permettra l’analyse détaillée des scripts exécutés en cas de compromission, mais pourra aussi se révéler précieuse dans l’analyse de dysfonctionnements ».

Lire aussi :

Windows 10 : Microsoft remplace cmd.exe par PowerShell
L’histoire de Microsoft PowerShell en 10 questions (quiz)
Microsoft libère le code de PowerShell et le porte sous Linux !

Recent Posts

RGPD : vers une nouvelle méthode de calcul des amendes

Le Comité européen de la protection des données (CEPD) a adopté de nouvelles lignes directrices…

1 heure ago

Qui utilise (vraiment) les outils low code et no code ?

Près de 5 développeurs sur 10 utilisent des outils low / no code. Mais pour…

18 heures ago

DevSecOps : Snyk nomme Adi Sharabani CTO

Snyk a recruté Adi Sharabani au poste de chief technology officer. Il encadre l'évolution technique…

19 heures ago

JavaScript : Meta bascule Jest en open source

Meta a officiellement transféré Jest, son framework de test, à la Fondation OpenJS. Celle-ci s’engage…

20 heures ago

Avec Viva Goals, Microsoft rassemble les collaborateurs autour des objectifs business

Microsoft continue d’étoffer sa plateforme Viva, dédiée à l’expérience collaborateur, en lançant Viva Goals, un…

21 heures ago

Développeurs : Google Cloud pousse Assured OSS

Google Cloud va distribuer un catalogue de bibliothèques logicielles open source approuvées par ses soins.…

23 heures ago