CDIC 2023

Symantec ชี้ 95.4% ของ PowerShell Script นั้นคือโค้ดอันตราย! อาจกลายเป็นภัยคุกคามใหญ่ต่อองค์กรในอนาคต

ภัยคุกคามใหม่ขององค์กรในรูปแบบของ Microsoft PowerShell กำลังเติบโตขึ้นอย่างรวดเร็ว

Symantec ได้ออกมาเปิดเผยถึงผลการตรวจสอบ Microsoft PowerShell Script ที่เหล่าองค์กรส่งขึ้นมาตรวจสอบบนระบบของ BlueCoat Malware Analysis และพบว่า 95.4% ของ PowerShell ที่ถูกโหลดเข้ามาจากภายนอกองค์กรนั้นต้องสงสัยว่าจะเป็นอันตรายต่อองค์กรในหลากหลายแง่มุม

ทั้งนี้ Microsoft PowerShell เองก็มีอายุมากกว่า 10 ปีแล้ว และกำลังจะเข้ามาทดแทน Command Prompt บน Windows ในอนาคตอย่างสมบูรณ์ โดยเริ่มได้รับความนิยมในหมู่ผู้ดูแลระบบเพื่อใช้พัฒนา Script สำหรับทำงานต่างๆ โดยอัตโนมัติ

ในขณะเดียวกัน PowerShell นี้เองก็ได้ถูกนำมาใช้ในการโจมตีด้วย ไม่ว่าจะเป็นการโจมตีแบบ Targeted Attack ที่มุ่งเป้าไปยังเหล่าสถาบันการเงินทั่วโลก, การนำมาใช้ในโทรจัน Trojan.Kotver และอื่นๆ อีกมากมาย เนื่องจาก PowerShell นี้ถูกติดตั้งอยู่ภายใน Windows รุ่นใหม่ๆ ทุกเครื่องและองค์กรเองก็ยังไม่มีการจัดเก็บ Log ในการใช้งาน PowerShell กันมากนัก ทำให้ PowerShell กลายเป็นที่นิยมในการนำมาใช้โจมตี

จากการวิเคราะห์กลุ่มตัวอย่างของทาง Symantec นั้นพบว่า ปัจจุบันมี Malware หลากหลายตระกูลที่ใช้ PowerShell เป็นหลักในการทำงาน โดย Malware 3 ตระกูลที่ใช้ PowerShell มากที่สุดมีดังนี้

โดย Malware เหล่านี้ใช้การแพร่กระจายผ่านทางการทำ Spam Email ทั้งหมด ซึ่ง 6 เดือนที่ผ่านมา Symantec ได้ทำการบล็อค Email กว่า 466,028 ฉบับที่มีการแนบ JavaScript ต้องสงสัยเข้ามา ซึ่งถึงแม้ปัจจุบัน JavaScript ต้องสงสัยเหล่านี้จะยังไม่ทำการโหลดไฟล์อื่นๆ เข้ามาใช้ในการโจมตีผ่านทาง PowerShell ทั้งหมด แต่แนวโน้มก็กำลังเติบโตขึ้นเรื่อยๆ รวมถึงยังมีการใช้ PowerShell ในการถอนการติดตั้งของระบบรักษาความปลอดภัยภายในเครื่อง, ตรวจสอบว่าระบบนี้คือ Sandbox หรือไม่ หรือแม้แต่การพยายามดักฟังข้อมูลในเครือข่ายเพื่อขโมยรหัสผ่านอีกด้วย

นอกจากนี้อีกประเด็นหนึ่งที่น่าสนใจเกี่ยวกับ PowerShell คือการที่มันสามารถทำ Obfuscation ได้ด้วยวิธีการหลากหลายรูปแบบเพื่อไม่ให้คนทั่วไปเข้าใจได้ว่า Script นี้ต้องการจะทำอะไรกับระบบ โดยจากการวิเคราะห์ภัยคุกคาม 111 ตระกูลที่ใช้ PowerShell นั้น ทาง Symantec ก็พบว่ามีเพียง 8% เท่านั้นที่มีการทำ Obfuscation ที่ระดับตัวอักษร และไม่พบการสุ่มในระดับของลำดับคำสั่งเลย

ผู้ที่สนใจรายละเอียดเพิ่มเติมสามารถศึกษาข้อมูลได้ที่ Whitepaper แจกฟรีหัวข้ออ The increased use of PowerShell in attacks ได้ที่ https://www.symantec.com/content/dam/symantec/docs/security-center/white-papers/increased-use-of-powershell-in-attacks-16-en.pdf เลยนะครับ

ที่มา: https://www.symantec.com/connect/blogs/powershell-threats-surge-954-percent-analyzed-scripts-were-malicious


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Pure Storage ผ่านการรับรอง NIVIDA DGX BasePOD มุ่งขยายตลาด AI ภาคธุรกิจด้วย 3 โซลูชัน

NVIDIA ได้ประกาศการรับรอง NVIDIA DGX BasePOD Certification ให้กับ Pure Storage แล้ว ส่งผลให้ Pure Storage กลายเป็น Enterprise Data Storage Vendor รายแรกๆ ของโลกที่ผ่านการรับรองนี้ และสามารถนำเสนอโซลูชันด้าน AI สำหรับภาคธุรกิจได้อย่างมั่นใจ

ยอดขายกว่า 79% ของ ChatGPT ในกลุ่มลูกค้าธุรกิจองค์กร มาจาก Microsoft Azure-OpenAI

Moneycontrol และ UnearthInsight ได้ออกมาเผยถึงการประมาณช่องทางการหารายได้ของ OpenAI ว่ามีลูกค้ากลุ่มธุรกิจองค์กรผ่านความร่วมมือระหว่าง Microsoft Azure และ OpenAI อยู่ที่ 70-79% โดยปัจจุบันเชื่อว่า OpenAI น่าจะมีลูกค้ากลุ่มธุรกิจองค์กรสำหรับ ChatGPT Enterprise มากแล้วราวๆ 22,000 - 25,000 องค์กรทั่วโลก