ภัยคุกคามใหม่ขององค์กรในรูปแบบของ Microsoft PowerShell กำลังเติบโตขึ้นอย่างรวดเร็ว
Symantec ได้ออกมาเปิดเผยถึงผลการตรวจสอบ Microsoft PowerShell Script ที่เหล่าองค์กรส่งขึ้นมาตรวจสอบบนระบบของ BlueCoat Malware Analysis และพบว่า 95.4% ของ PowerShell ที่ถูกโหลดเข้ามาจากภายนอกองค์กรนั้นต้องสงสัยว่าจะเป็นอันตรายต่อองค์กรในหลากหลายแง่มุม
ทั้งนี้ Microsoft PowerShell เองก็มีอายุมากกว่า 10 ปีแล้ว และกำลังจะเข้ามาทดแทน Command Prompt บน Windows ในอนาคตอย่างสมบูรณ์ โดยเริ่มได้รับความนิยมในหมู่ผู้ดูแลระบบเพื่อใช้พัฒนา Script สำหรับทำงานต่างๆ โดยอัตโนมัติ
ในขณะเดียวกัน PowerShell นี้เองก็ได้ถูกนำมาใช้ในการโจมตีด้วย ไม่ว่าจะเป็นการโจมตีแบบ Targeted Attack ที่มุ่งเป้าไปยังเหล่าสถาบันการเงินทั่วโลก, การนำมาใช้ในโทรจัน Trojan.Kotver และอื่นๆ อีกมากมาย เนื่องจาก PowerShell นี้ถูกติดตั้งอยู่ภายใน Windows รุ่นใหม่ๆ ทุกเครื่องและองค์กรเองก็ยังไม่มีการจัดเก็บ Log ในการใช้งาน PowerShell กันมากนัก ทำให้ PowerShell กลายเป็นที่นิยมในการนำมาใช้โจมตี
จากการวิเคราะห์กลุ่มตัวอย่างของทาง Symantec นั้นพบว่า ปัจจุบันมี Malware หลากหลายตระกูลที่ใช้ PowerShell เป็นหลักในการทำงาน โดย Malware 3 ตระกูลที่ใช้ PowerShell มากที่สุดมีดังนี้
- W97M.Downloader (9.4%)
- Trojan.Kotver (4.5%)
- JS.Downloader (4.0%)
โดย Malware เหล่านี้ใช้การแพร่กระจายผ่านทางการทำ Spam Email ทั้งหมด ซึ่ง 6 เดือนที่ผ่านมา Symantec ได้ทำการบล็อค Email กว่า 466,028 ฉบับที่มีการแนบ JavaScript ต้องสงสัยเข้ามา ซึ่งถึงแม้ปัจจุบัน JavaScript ต้องสงสัยเหล่านี้จะยังไม่ทำการโหลดไฟล์อื่นๆ เข้ามาใช้ในการโจมตีผ่านทาง PowerShell ทั้งหมด แต่แนวโน้มก็กำลังเติบโตขึ้นเรื่อยๆ รวมถึงยังมีการใช้ PowerShell ในการถอนการติดตั้งของระบบรักษาความปลอดภัยภายในเครื่อง, ตรวจสอบว่าระบบนี้คือ Sandbox หรือไม่ หรือแม้แต่การพยายามดักฟังข้อมูลในเครือข่ายเพื่อขโมยรหัสผ่านอีกด้วย
นอกจากนี้อีกประเด็นหนึ่งที่น่าสนใจเกี่ยวกับ PowerShell คือการที่มันสามารถทำ Obfuscation ได้ด้วยวิธีการหลากหลายรูปแบบเพื่อไม่ให้คนทั่วไปเข้าใจได้ว่า Script นี้ต้องการจะทำอะไรกับระบบ โดยจากการวิเคราะห์ภัยคุกคาม 111 ตระกูลที่ใช้ PowerShell นั้น ทาง Symantec ก็พบว่ามีเพียง 8% เท่านั้นที่มีการทำ Obfuscation ที่ระดับตัวอักษร และไม่พบการสุ่มในระดับของลำดับคำสั่งเลย
ผู้ที่สนใจรายละเอียดเพิ่มเติมสามารถศึกษาข้อมูลได้ที่ Whitepaper แจกฟรีหัวข้ออ The increased use of PowerShell in attacks ได้ที่ https://www.symantec.com/content/dam/symantec/docs/security-center/white-papers/increased-use-of-powershell-in-attacks-16-en.pdf เลยนะครับ