Windows-PowerShell ist beliebtes Angriffsziel

Die PowerShell ist in allen Windows-Systemen als Script-Umgebung vorhanden und nicht nur bei Administratoren beliebt. Auch Angreifer schätzen die PowerShell um bösartige Scripte in Windows-Umgebungen auszuführen.


Anzeige

Bei der Auswertung von Sicherheitsvorfällen bei Kunden haben die Sicherheitsforscher des Anbieters Red Canary herausgefunden, dass die PowerShell ganz oben auf der Liste der Präferenzen von Cyber-Kriminellen steht. Dies geht aus dem Artikel Hackers Are Loving PowerShell, Study Finds hervor.

Daten, die von 10.000 bestätigten Angriffen gesammelt wurden, zeigen, dass PowerShell, Skripting, Regsvr32, Connection Proxy, Spearphishing Attachments und Masquerading die gängigsten Techniken waren. Die am häufigsten eingesetzte Angriffstechnik verwendet die PowerShell, und der Grund ist klar. Die PowerShell ist seit einem Jahrzehnt standardmäßig in praktisch jedem Windows-Betriebssystem enthalten. Die PowerShell bietet Zugriff auf die Windows-API und ist selten eingeschränkt, so dass Angreifer keine Verwaltungs- und Automatisierungsaufgaben ausführen können.

Angreifer können mit PowerShell die Ausführung eines lokalen Skripts steuern, entfernte Ressourcen über verschiedene Netzwerkprotokolle abrufen und ausführen, über die Befehlszeile übergebene Nutzlasten kodieren oder PowerShell in andere Prozesse laden.

Mit den leicht verfügbaren PowerShell-Bibliotheken können Implementierungen die volle Funktionalität von PowerShell in beliebigen Prozessen nutzen. Die Open-Source- und plattformübergreifende Verfügbarkeit von PowerShell hat zudem zur Entwicklung von Tools geführt, die in der Lage sind, Schadcode für Windows, macOS und Linux zu erstellen.

Weitere Details lassen sich dem  Artikel Hackers Are Loving PowerShell, Study Finds (Englisch) entnehmen. Heise hat hier einen deutschsprachigen Beitrag zum Thema veröffentlicht. Danke an Ralf für den Kommentar zum Beitrag Windows PowerShell: Einfalltor für Hacker.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Windows-PowerShell ist beliebtes Angriffsziel

  1. Micha45 sagt:

    Lieber Herr Günter Born,
    dieser "Artikel" bei heise.de ist der blanke Unsinn.
    Miserabel recherchiert, die Autoren haben nicht den Hauch einer Ahnung, von was sie da schreiben. Das ist nichts anderes als dumpfes Bashing! Kennt man aber so von dieser Seite.
    Die Autoren dort bewegen sich auf unterstem BILD-Niveau und solche "Artikel" sind dort standard.

    Einige der Kommentare unter dem "Artikel" sprechen für sich und bringen diesen unsäglichen Unsinn auf den Punkt, deshalb spare ich mir hier weitere Ausführungen.

    • Günter Born sagt:

      @Micha45: Danke für den Einwurf! Möglicherweise hast Du Erkenntnisse, die ich nicht habe. Ich habe mir jetzt den Artikel nochmals genauer durchgelesen. Kann deinem Urteil leider nicht folgen.

      1. Basis des Heise-Beitrags ist der Red Canary-Report, der 10.000 Sicherheitsvorfälle im Unternehmen untersucht hat und zu bestimmten Ergebnissen gekommen ist.

      2. Das ist in meinen Augen von der Redakteurin korrekt umgesetzt worden.

      Wenn 1 also zu dem Ergebnis kommt, dass in der Mehrzahl der Sicherheitsvorfälle PS-Module für irgendwelche Angriffe genutzt wurden, ist das eine Information, die für Leute, die für die Sicherheit im Unternehmen zuständig sind, schon eine Position darstellt.

      Bin ein viertel Jahrhundert aus der Chemieindustrie raus – aber dort war es Usus: 'Du bekommst eine Information über einen Störfall oder eine Schwachstelle, also setzt Du dich hin und recherchierst weiter, klärst, ob das für dich relevant ist und leitest Maßnahmen ein, um den Störfall bei dir zu verhindern bzw. die Schwachstelle auszumerzen'. Das letzte, was uns eingefallen wäre, ist die 'das ist Unsinn'-Theorie anzunehmen – es galt höchstens 'das ist aus den Gründen für uns nicht relevant' – möglichst in einer Aktennotiz dokumentiert.

      Nur bei Heise meint ein Teil der Leserschaft (die sich nebenbei – zumindest für mich gefühlt – das Expertentum ans Revers heftet) in den Kommentaren vom Leder ziehen zu müssen. Gehe ich die Kommentare durch, sind die zum Großteil für die Tonne (immer dann, wenn der Kommentarinhalt für mich nicht weiterführend ist, weil Meinung mit Sachargumenten verwechselt wird). Allerdings findet man bei Heise in den Kommentaren halt immer wieder Perlen, die einen weiter bringen (und dafür wühle ich deren Kommentarbereich häufig durch).

      Es gibt zwei Fundsplitter in den Kommentaren, die ich beim Überfliegen interessant fand. Einen (15 Methoden um die Restricted-Policy zu umgehen), hat Ralf nachfolgend genannt. Der andere stammt von Christoph Schneegans und ist der Verweis auf den Constrained Mode und seinen Artikel http://schneegans.de/computer/safer/#constrained-mode

      Einzig, was ich als unglücklich empfinde, ist der Verweis auf die Heise Sicherheitskonferenz. Aber da ist die Redakteurin imho angehalten, solche Aktionen zu erwähnen. Und trommeln gehört zum Handwerk. Mit Konferenzen und der c't sowie den Printmedien werden u.a. die Online-Auftritte, deren Inhalte für die 'Exbärden im Kommentarbereich' immer noch weitgehend kostenlos sind, schlicht quer finanziert. Von einem Mitteleuropäer mit durchschnittlicher Intelligenz erwarte ich schlicht (zumindest, wenn er in der Unternehmens-IT als Administrator verantwortlich unterwegs ist), dass er beurteilen kann, ob die Heise-Konferenz für ihn essentiell ist oder nicht. Zumindest erinnere ich mich dunkel an meine Zeit in der Industrie, dass der Besuch solcher Konferenzen von Dritten genehmigt werden musste. Und ich kann mich nicht erinnern, jemals einen Kurs 'Schwangerschaftsgymnastik für männliche Admins' genehmigt zu haben ;-).

      Von daher: Deine Position sei dir belassen – kann ich mit leben. Zudem ist Diskussion auf sachlicher Ebene immer hilfreich – manchmal hat man sich auf einen falschen Stuhl gesetzt und wird durch Kommentare darauf aufmerksam. Aber bei mir bleibt der Eindruck mit der Artikel ist Unsinn-Theorie 'am Leben da draußen auf den (Windows) Systemen vorbei argumentiert'. Möglicherweise habe ich was übersehen oder einen anderen Betrachtungspunkt als deine Wenigkeit. Da lerne ich gerne hinzu – geht aber nicht mit "der Heise-Artikel ist Unsinn"-Theorie konform – denn dass ist mir zu viel Schwarz-Weiß-Denken und hilft ad hoc nicht weiter.

  2. Martin Feuerstein sagt:

    Dafür gibts die ExecutionPolicy – die entweder die Ausführung von Skripts unterbindet oder nur signierte Skripts zulässt (entweder von öffentlichen CAs beglaubigte Zertifikate oder von der eigenen CA).

    • ralf sagt:

      "the setting was never meant to be a security control. Instead, it was intended to prevent administrators from shooting themselves in the foot"
      https://blog.netspi.com/15-ways-to-bypass-the-powershell-execution-policy/

    • Günter Born sagt:

      @Martin: Signierst Du die Scripte bei dir? Ich habe mich ewig nicht mehr damit befasst. Aber zu Zeiten von WSH und VBA war das alles andere als trivial – und es hat sich immer mal wieder was geändert. Vom Bauchgefühl (ich mag falsch liegen) würde ich davon ausgehen, dass signierte PS-Scripte bzw. so eingestellte Umgebungen eine Minderheit darstellen.

      Zur ExecutionPolicy hat Ralf ja den relevanten Link gepostet. Schau dir aber meinen Hinweis auf Schneeganz im vorherigen Kommentar an. Klingt für mich ganz sinnvoll.

      PS: Der Artikel hat schon seinen Zweck erfüllt. Immerhin diskutiert ihr über das Thema (danke dafür, hilft den Mitlesern) – und ein paar sinnvolle Zusatzinformationen sind in den Kommentaren ja schon abgefallen. Also macht was draus – es sind nicht meine Systeme, die da draußen per PS-Scripten angegriffen werden.

      • Signieren von Skripts für den WSH oder PowerShell sowie VBA für Microsoft Office war und ist TRIVIAL: sowohl SIGNTOOL.exe als auch eigene Methoden/Funktionen von WSH, PowerShell und Office existieren.
        Wenn bzw. dass wie von Dir behauptet nur eine Minderheit sowas macht ist DEREN Problem bzw. Unfähigkeit oder Unwilligkeit: signierte Skripts und VBA-Makros werden seit dem letzten Jahrtausend unterstützt.

Schreibe einen Kommentar zu ralf Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.