Symantec ชี้ 95.4% ของ PowerShell Script นั้นคือโค้ดอันตราย! อาจกลายเป็นภัยคุกคามใหญ่ต่อองค์กรในอนาคต

ภัยคุกคามใหม่ขององค์กรในรูปแบบของ Microsoft PowerShell กำลังเติบโตขึ้นอย่างรวดเร็ว

Symantec ได้ออกมาเปิดเผยถึงผลการตรวจสอบ Microsoft PowerShell Script ที่เหล่าองค์กรส่งขึ้นมาตรวจสอบบนระบบของ BlueCoat Malware Analysis และพบว่า 95.4% ของ PowerShell ที่ถูกโหลดเข้ามาจากภายนอกองค์กรนั้นต้องสงสัยว่าจะเป็นอันตรายต่อองค์กรในหลากหลายแง่มุม

ทั้งนี้ Microsoft PowerShell เองก็มีอายุมากกว่า 10 ปีแล้ว และกำลังจะเข้ามาทดแทน Command Prompt บน Windows ในอนาคตอย่างสมบูรณ์ โดยเริ่มได้รับความนิยมในหมู่ผู้ดูแลระบบเพื่อใช้พัฒนา Script สำหรับทำงานต่างๆ โดยอัตโนมัติ

ในขณะเดียวกัน PowerShell นี้เองก็ได้ถูกนำมาใช้ในการโจมตีด้วย ไม่ว่าจะเป็นการโจมตีแบบ Targeted Attack ที่มุ่งเป้าไปยังเหล่าสถาบันการเงินทั่วโลก, การนำมาใช้ในโทรจัน Trojan.Kotver และอื่นๆ อีกมากมาย เนื่องจาก PowerShell นี้ถูกติดตั้งอยู่ภายใน Windows รุ่นใหม่ๆ ทุกเครื่องและองค์กรเองก็ยังไม่มีการจัดเก็บ Log ในการใช้งาน PowerShell กันมากนัก ทำให้ PowerShell กลายเป็นที่นิยมในการนำมาใช้โจมตี

จากการวิเคราะห์กลุ่มตัวอย่างของทาง Symantec นั้นพบว่า ปัจจุบันมี Malware หลากหลายตระกูลที่ใช้ PowerShell เป็นหลักในการทำงาน โดย Malware 3 ตระกูลที่ใช้ PowerShell มากที่สุดมีดังนี้

โดย Malware เหล่านี้ใช้การแพร่กระจายผ่านทางการทำ Spam Email ทั้งหมด ซึ่ง 6 เดือนที่ผ่านมา Symantec ได้ทำการบล็อค Email กว่า 466,028 ฉบับที่มีการแนบ JavaScript ต้องสงสัยเข้ามา ซึ่งถึงแม้ปัจจุบัน JavaScript ต้องสงสัยเหล่านี้จะยังไม่ทำการโหลดไฟล์อื่นๆ เข้ามาใช้ในการโจมตีผ่านทาง PowerShell ทั้งหมด แต่แนวโน้มก็กำลังเติบโตขึ้นเรื่อยๆ รวมถึงยังมีการใช้ PowerShell ในการถอนการติดตั้งของระบบรักษาความปลอดภัยภายในเครื่อง, ตรวจสอบว่าระบบนี้คือ Sandbox หรือไม่ หรือแม้แต่การพยายามดักฟังข้อมูลในเครือข่ายเพื่อขโมยรหัสผ่านอีกด้วย

นอกจากนี้อีกประเด็นหนึ่งที่น่าสนใจเกี่ยวกับ PowerShell คือการที่มันสามารถทำ Obfuscation ได้ด้วยวิธีการหลากหลายรูปแบบเพื่อไม่ให้คนทั่วไปเข้าใจได้ว่า Script นี้ต้องการจะทำอะไรกับระบบ โดยจากการวิเคราะห์ภัยคุกคาม 111 ตระกูลที่ใช้ PowerShell นั้น ทาง Symantec ก็พบว่ามีเพียง 8% เท่านั้นที่มีการทำ Obfuscation ที่ระดับตัวอักษร และไม่พบการสุ่มในระดับของลำดับคำสั่งเลย

ผู้ที่สนใจรายละเอียดเพิ่มเติมสามารถศึกษาข้อมูลได้ที่ Whitepaper แจกฟรีหัวข้ออ The increased use of PowerShell in attacks ได้ที่ https://www.symantec.com/content/dam/symantec/docs/security-center/white-papers/increased-use-of-powershell-in-attacks-16-en.pdf เลยนะครับ

ที่มา: https://www.symantec.com/connect/blogs/powershell-threats-surge-954-percent-analyzed-scripts-were-malicious



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

HP ออกอัปเดต Keyboard Driver แก้ปัญหา Keylogger ใน Notebook ควรอัปเดตโดยด่วน

HP ได้ออกอัปเดตใหม่สำหรับ Keyboard Driver ใน Notebook จำนวน 475 รุ่นทั้งบนรุ่น Consumer และ Commercial เพื่อแก้ไขโค้ดสำหรับใช้ Debug ที่หลุดไปถึงผู้ใช้งาน …

NVIDIA เปิดตัว NVIDIA TITAN V GPU การ์ดจอ PC เร็วระดับ 110 Teraflops เหนือกว่ารุ่นก่อน 9 เท่า

Jensen Huang ผู้ดำรงตำแหน่ง CEO แห่ง NVIDIA ได้ออกมาประกาศเปิดตัว NVIDIA TITAN V การ์ดจอ PC รุ่นล่าสุดที่มีความเร็วสูงถึง 110 Teraflops …