Breaking News

Symantec ชี้ 95.4% ของ PowerShell Script นั้นคือโค้ดอันตราย! อาจกลายเป็นภัยคุกคามใหญ่ต่อองค์กรในอนาคต

ภัยคุกคามใหม่ขององค์กรในรูปแบบของ Microsoft PowerShell กำลังเติบโตขึ้นอย่างรวดเร็ว

Symantec ได้ออกมาเปิดเผยถึงผลการตรวจสอบ Microsoft PowerShell Script ที่เหล่าองค์กรส่งขึ้นมาตรวจสอบบนระบบของ BlueCoat Malware Analysis และพบว่า 95.4% ของ PowerShell ที่ถูกโหลดเข้ามาจากภายนอกองค์กรนั้นต้องสงสัยว่าจะเป็นอันตรายต่อองค์กรในหลากหลายแง่มุม

ทั้งนี้ Microsoft PowerShell เองก็มีอายุมากกว่า 10 ปีแล้ว และกำลังจะเข้ามาทดแทน Command Prompt บน Windows ในอนาคตอย่างสมบูรณ์ โดยเริ่มได้รับความนิยมในหมู่ผู้ดูแลระบบเพื่อใช้พัฒนา Script สำหรับทำงานต่างๆ โดยอัตโนมัติ

ในขณะเดียวกัน PowerShell นี้เองก็ได้ถูกนำมาใช้ในการโจมตีด้วย ไม่ว่าจะเป็นการโจมตีแบบ Targeted Attack ที่มุ่งเป้าไปยังเหล่าสถาบันการเงินทั่วโลก, การนำมาใช้ในโทรจัน Trojan.Kotver และอื่นๆ อีกมากมาย เนื่องจาก PowerShell นี้ถูกติดตั้งอยู่ภายใน Windows รุ่นใหม่ๆ ทุกเครื่องและองค์กรเองก็ยังไม่มีการจัดเก็บ Log ในการใช้งาน PowerShell กันมากนัก ทำให้ PowerShell กลายเป็นที่นิยมในการนำมาใช้โจมตี

จากการวิเคราะห์กลุ่มตัวอย่างของทาง Symantec นั้นพบว่า ปัจจุบันมี Malware หลากหลายตระกูลที่ใช้ PowerShell เป็นหลักในการทำงาน โดย Malware 3 ตระกูลที่ใช้ PowerShell มากที่สุดมีดังนี้

โดย Malware เหล่านี้ใช้การแพร่กระจายผ่านทางการทำ Spam Email ทั้งหมด ซึ่ง 6 เดือนที่ผ่านมา Symantec ได้ทำการบล็อค Email กว่า 466,028 ฉบับที่มีการแนบ JavaScript ต้องสงสัยเข้ามา ซึ่งถึงแม้ปัจจุบัน JavaScript ต้องสงสัยเหล่านี้จะยังไม่ทำการโหลดไฟล์อื่นๆ เข้ามาใช้ในการโจมตีผ่านทาง PowerShell ทั้งหมด แต่แนวโน้มก็กำลังเติบโตขึ้นเรื่อยๆ รวมถึงยังมีการใช้ PowerShell ในการถอนการติดตั้งของระบบรักษาความปลอดภัยภายในเครื่อง, ตรวจสอบว่าระบบนี้คือ Sandbox หรือไม่ หรือแม้แต่การพยายามดักฟังข้อมูลในเครือข่ายเพื่อขโมยรหัสผ่านอีกด้วย

นอกจากนี้อีกประเด็นหนึ่งที่น่าสนใจเกี่ยวกับ PowerShell คือการที่มันสามารถทำ Obfuscation ได้ด้วยวิธีการหลากหลายรูปแบบเพื่อไม่ให้คนทั่วไปเข้าใจได้ว่า Script นี้ต้องการจะทำอะไรกับระบบ โดยจากการวิเคราะห์ภัยคุกคาม 111 ตระกูลที่ใช้ PowerShell นั้น ทาง Symantec ก็พบว่ามีเพียง 8% เท่านั้นที่มีการทำ Obfuscation ที่ระดับตัวอักษร และไม่พบการสุ่มในระดับของลำดับคำสั่งเลย

ผู้ที่สนใจรายละเอียดเพิ่มเติมสามารถศึกษาข้อมูลได้ที่ Whitepaper แจกฟรีหัวข้ออ The increased use of PowerShell in attacks ได้ที่ https://www.symantec.com/content/dam/symantec/docs/security-center/white-papers/increased-use-of-powershell-in-attacks-16-en.pdf เลยนะครับ

ที่มา: https://www.symantec.com/connect/blogs/powershell-threats-surge-954-percent-analyzed-scripts-were-malicious




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Sponsored Webinar: รู้จักกับ Rubrik ระบบ Data Protection สำหรับ Hyperconverged & Cloud Era โดย Rubrik

Rubrik ขอเรียนเชิญเหล่า IT Manager, Systems Engineer และผู้ที่เกี่ยวข้องกับการดูแล Data Center ภายในองค์กรทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง “รู้จักกับ …

Intel เข้าซื้อกิจการ Vertex.AI ผู้พัฒนา PlaidML ระบบ Deep Learning Engine ที่รองรับ GPU ทุกค่าย

Intel ได้ประกาศเข้าซื้อกิจการของ Vertex.AI บริษัท Startup ผู้พัฒนาเทคโนโลยี Deep Learning Engine ชื่อ PlaidML ภายใต้แนวคิด Deep Learning for …