Las empresas ahora se enfrentan a la creciente amenaza de la piratería sin archivos y los ataques de malware sin archivos facilitados por el lenguaje de secuencias de comandos PowerShell que ya está integrado en Windows.

Aumento Reportado

El último informe de amenazas de McAfee Labs muestra en qué amenaza emergente y peligrosa se ha convertido la explotación del lenguaje de secuencias de comandos de PowerShell. En el último trimestre de 2017, la adopción de malware sin archivos a través de Microsoft PowerShell mostró un aumento del 432 %.

¿Cómo funciona?

Microsoft PowerShell es un lenguaje de secuencias de comandos integrado en el sistema operativo Windows. Sus principales usos legítimos incluyen la ejecución de comandos en segundo plano, la comprobación de los servicios instalados en el sistema, la terminación de procesos y la gestión de configuraciones de sistemas y servidores.

El lenguaje de secuencias de comandos de Microsoft PowerShell brinda acceso al núcleo interno de su computadora, incluido el acceso sin restricciones a las API de Windows. Además, debido a que es una parte legítima del sistema operativo de su computadora, cualquier comando que ejecute generalmente es ignorado por el software de seguridad y no proporciona una firma para que el software antivirus la detecte. Otro aspecto crucial de Powershell es que puede ejecutarse de forma remota a través de WinRM. Por estos motivos, se ha convertido en una ruta ideal para los ciberdelincuentes.

Control de computadoras usando Powershell

Un hack a través de PowerShell implica que los atacantes accedan a PowerShell de forma remota a través de WinRM, lo que les permite atravesar el Firewall de Windows y ejecutar más scripts de PowerShell completos con control administrativo. Incluso si WinRM está desactivado, se puede activar de forma remota a través de WMI utilizando una sola línea de código.

Además, a través de Powershell, una vez que un atacante obtiene un nombre de usuario y una contraseña para una computadora, se abre el camino para comprometer completamente todo el sistema empresarial.

Ataques recientes de malware sin archivos

Se ha informado que el malware de PowerShell llega a través de correo electrónico no deseado, y es el código incrustado en el correo electrónico el que contiene los comandos de PowerShell. Este código generalmente contiene instrucciones para descargar otra carga útil para llevar a cabo la actividad maliciosa principal.

El informe McAfee Threat muestra cómo los ataques recientes han utilizado Powershell para descargar malware de las familias Bartallex (archivos .bat y .vbs) y Dridex en los sistemas de las víctimas en lo que ahora se conoce popularmente como ataques de malware sin archivos.

¿Qué significa esto para tu negocio?

La combinación de PowerShell que brinda acceso legítimo a la computadora y su posterior capacidad de ser ignorado por el software de seguridad, así como la capacidad de ejecutarlo de forma remota a través de WinRM, lo convierte en una táctica de bajo riesgo, bajo costo y potencialmente muy rentable para los ciberdelincuentes. . Esto significa que los hacks sin archivos y los ataques de malware sin archivos son ahora un riesgo grave y presente para las empresas y organizaciones de todo tipo.

El factor sigilo, más el hecho de que pasa desapercibido para el software antivirus normal, hace que la detección sea muy difícil. La única posibilidad clara de detenerlo parece ser no abrir el correo electrónico malicioso que contiene el código que inicia el ataque. Las empresas y organizaciones deben asegurarse de que todo el personal esté capacitado para reconocer y resistir las tácticas de ingeniería social, y ser conscientes del riesgo de descargar e instalar aplicaciones que no comprenden o en las que no confían.