zur Übersicht

Warum Angriffe durch Fileless Malware so einfach sind...

PowerShell Core: Fluch oder Segen?

Die PowerShell dient Administratoren unter anderem dazu, Aufgaben unter Windows skriptgesteuert zu automatisieren. Mit der PowerShell Core wird dies nun auch unter Linux und macOS ermöglicht. Das bedeutet, dass ein Skript nun unter drei Betriebssystemen verwendet werden kann: Windows, Linux und macOS .

Hierdurch wird die tägliche Arbeit in heterogenen Netzwerken enorm vereinfacht. Der Administrator kann ein PowerShell Skript für seine Systeme verwenden, anstatt unterschiedliche Skriptvarianten wie Bash, Perl, AppleScript etc. pflegen zu müssen.

Mit der PowerShell Core wird aber auch einem Angreifer der Zugriff auf unterschiedliche Systeme erleichtert. Eine installierte PowerShell Core vorausgesetzt, kann der Angreifer nun plattformübergreifend seinen Angriffspunkt attackieren. Hierzu ist es nur nötig eine einfache Systemabfrage auszuführen, um das verwendete Betriebssystem zu erkennen. 

powershell

This is Windows erklärt mir mein System hier mit der kurzen Abfrage. Klasse! Dann lade ich mal schnell den richtigen Schadcode runter und führe aus - Zack! So schnell geht das. 

Wer auf die Annehmlichkeiten von PowerShell nicht verzichten möchte, sollte folgende Punkte beachten:

1. Sichern Sie PowerShell mit den von Microsoft zur Verfügung gestellten Execution und Security Policies. Dies sollte eigentlich selbstverständlich sein. Jedoch sehe ich in der Praxis, dass es oft vergessen wird.

threatsfound

2. Einstellungen in Ihrer Endpoint Security Lösung anpassen. Als Trend Micro Consultant geht meine Empfehlung ganz klar zu OfficeScan. Hier aktivieren Sie die Verhaltensüberwachung, um das schadhafte Verhalten eines PowerShell Skriptes zu erkenne und zu unterbinden.

3. Zusätzlich ist der Einsatz von  Sandboxing Technologien, um mutierten Schadcode schon im Vorfeld zu erkennen und in Quarantäne zu stellen, hilfreich. Bei Trend Micro bietet sich hier der Deep Discovery Analyzer an.

Fazit

Die Frage nach Fluch oder Segen stellt sich nur bei schlechter Absicherung.  PowerShell Core ist ein Tool, dass den Alltag ungemein erleichtert. Man muss sich nur über die Auswirkungen im Klaren sein und Maßnahmen treffen, die Fileless Angriffe verhindern können.

zur Übersicht

Robert F. Krick

Sie haben Fragen?

Gerne beantworten wir Ihre Fragen und informieren Sie über unsere Referenzprojekte!

Nehmen Sie Kontakt auf

Das könnte Sie auch interessieren

Der neue Workspace oder: wie fühlt sich New Normal an?

Im heutigen Blog-Beitrag begrüßen wir unseren ersten Gast-Autor, Marco Rosin (Senior Partner Account Manager @ Citrix Systems GmbH). Er berichtet in den nächsten Wochen aus seiner Perspektive, wie sich Homeoffice anfühlen kann und sollte, warum ein betriebliches Kontinuitätsmanagement so wichtig ist und wie Sie die Lösungen von Citrix dabei unterstützen, den Fortbestand Ihres Unternehmens zu sichern.

19.02.21 11:17

30 Jahre KRICK - The story behind…

In diesem Jahr feiern wir unser 30-jähriges Firmenjubiläum und wollen Sie mitnehmen auf eine kurze Reise durch die Zeit. Wir möchten uns ansehen, wie alles begann aber auch einen Moment im Hier und Jetzt verweilen. Und wir würden Ihnen gerne einen Blick hinter die Kulissen des Rebrandings geben. Also: lassen wir Robert Krick selbst erzählen…

12.02.21 11:26

Say my name – DNS zum Schutz der eigenen IT verwenden

Bedrohungsszenarien in der IT-Welt sind vielfältig und genauso vielfältig sind die Mechanismen, mit denen sie bekämpft werden können. Dabei gibt es unterschiedliche Ansätze, je nachdem, in welcher Angriffs-Phase sie zum Einsatz kommen. In allen Fällen gilt aber: je früher eine Attacke abgewehrt wird, desto besser.

15.01.21 12:15

Robert F. Krick

Geschäftsführer

Starten Sie jetzt
eine Anfrage

In unseren Stellenausschreibungen nicht den passenden Job gefunden? Macht nichts. Unser Team wächst stetig, deshalb sind wir immer auf der Suche nach Teamplayern und freuen uns über Deine Initiativbewerbung. Sende uns diese an: bewerbung@krick.net