zur Übersicht

Warum Angriffe durch Fileless Malware so einfach sind...

Die PowerShell dient Administratoren unter anderem dazu, Aufgaben unter Windows skriptgesteuert zu automatisieren. Mit der PowerShell Core wird dies nun auch unter Linux und macOS ermöglicht. Das bedeutet, dass ein Skript nun unter drei Betriebssystemen verwendet werden kann: Windows, Linux und macOSHierdurch wird die tägliche Arbeit in heterogenen Netzwerken enorm vereinfacht. Der Administrator kann ein PowerShell Skript für seine Systeme verwenden, anstatt unterschiedliche Skriptvarianten wie Bash, Perl, AppleScript etc. pflegen zu müssen.

Mit der PowerShell Core wird aber auch einem Angreifer der Zugriff auf unterschiedliche Systeme erleichtert. Eine installierte PowerShell Core vorausgesetzt, kann der Angreifer nun plattformübergreifend seinen Angriffspunkt attackieren. Hierzu ist es nur nötig eine einfache Systemabfrage auszuführen, um das verwendete Betriebssystem zu erkennen. 

powershell

This is Windows erklärt mir mein System hier mit der kurzen Abfrage. Klasse! Dann lade ich mal schnell den richtigen Schadcode runter und führe aus - Zack! So schnell geht das. 

Wer auf die Annehmlichkeiten von PowerShell nicht verzichten möchte, sollte folgende Punkte beachten:

1. Sichern Sie PowerShell mit den von Microsoft zur Verfügung gestellten Execution und Security Policies. Dies sollte eigentlich selbstverständlich sein. Jedoch sehe ich in der Praxis, dass es oft vergessen wird.

threatsfound

2. Einstellungen in Ihrer Endpoint Security Lösung anpassen. Als Trend Micro Consultant geht meine Empfehlung ganz klar zu OfficeScan. Hier aktivieren Sie die Verhaltensüberwachung, um das schadhafte Verhalten eines PowerShell Skriptes zu erkenne und zu unterbinden.

3. Zusätzlich ist der Einsatz von  Sandboxing Technologien, um mutierten Schadcode schon im Vorfeld zu erkennen und in Quarantäne zu stellen, hilfreich. Bei Trend Micro bietet sich hier der Deep Discovery Analyzer an.

Fazit

Die Frage nach Fluch oder Segen stellt sich nur bei schlechter Absicherung.  PowerShell Core ist ein Tool, dass den Alltag ungemein erleichtert. Man muss sich nur über die Auswirkungen im Klaren sein und Maßnahmen treffen, die Fileless Angriffe verhindern können.

Verfasser: Robert Krick

Vereinbaren Sie einen Beratungstermin mit uns!

zur Übersicht

Robert Krick

Sie haben Fragen?

Gerne beantworten wir Ihre Fragen und informieren Sie über unsere Referenzprojekte!

Nehmen Sie Kontakt auf

Das könnte Sie auch interessieren

Moderner Schutz fürs Data Center: Trend Micro Hybrid Cloud Security

Im Lauf der letzten Jahrzehnte konnten wir innerhalb der IT-Welt bei einer Art Transformation zusehen. Das Wort Transformation steht dafür, dass ein grundlegender Wandel stattfindet. Es treten sprunghafte Veränderungen z.B. bei technologischen Entwicklungen auf, die daraus resultieren, dass es sowohl neue Möglichkeiten, also auch veränderte Bedürfnisse gibt. Dabei ist dieser Entwicklungsprozess auch immer mit vielen Unsicherheiten verbunden.

30.04.21 09:30

Eine Firewall mit Röntgenblick

Firewalls sind aus den heutigen Kommunikationsketten zwischen Firmennetzen und dem Internet nicht mehr wegzudenken und auch den Ruf sie seien reine Paketfilter, haben sie schon lange abgelegt.

16.04.21 09:13

Sicher & performant – immer & überall, mit Citrix

Weltweit arbeiten mehrere Millionen Anwender aus dem Mittelstand, Konzernen und auch aus der öffentlichen Verwaltung mit den Technologien von Citrix. Im letzten Jahr ist die Nutzung sprunghaft angestiegen – kein Wunder, denn wir sorgen mit unseren Lösungen dafür, dass Mitarbeiter*innen ihre tägliche Arbeit unabhängig von Zeit und Ort ausführen können. New Work ist im Alltag angekommen.

09.04.21 10:36

Robert F. Krick

Geschäftsführer

Starten Sie jetzt
eine Anfrage

In unseren Stellenausschreibungen nicht den passenden Job gefunden? Macht nichts. Unser Team wächst stetig, deshalb sind wir immer auf der Suche nach Teamplayern und freuen uns über Deine Initiativbewerbung. Sende uns diese an: bewerbung@krick.net