Breaking News

Symantec ชี้ 95.4% ของ PowerShell Script นั้นคือโค้ดอันตราย! อาจกลายเป็นภัยคุกคามใหญ่ต่อองค์กรในอนาคต

ภัยคุกคามใหม่ขององค์กรในรูปแบบของ Microsoft PowerShell กำลังเติบโตขึ้นอย่างรวดเร็ว

Symantec ได้ออกมาเปิดเผยถึงผลการตรวจสอบ Microsoft PowerShell Script ที่เหล่าองค์กรส่งขึ้นมาตรวจสอบบนระบบของ BlueCoat Malware Analysis และพบว่า 95.4% ของ PowerShell ที่ถูกโหลดเข้ามาจากภายนอกองค์กรนั้นต้องสงสัยว่าจะเป็นอันตรายต่อองค์กรในหลากหลายแง่มุม

ทั้งนี้ Microsoft PowerShell เองก็มีอายุมากกว่า 10 ปีแล้ว และกำลังจะเข้ามาทดแทน Command Prompt บน Windows ในอนาคตอย่างสมบูรณ์ โดยเริ่มได้รับความนิยมในหมู่ผู้ดูแลระบบเพื่อใช้พัฒนา Script สำหรับทำงานต่างๆ โดยอัตโนมัติ

ในขณะเดียวกัน PowerShell นี้เองก็ได้ถูกนำมาใช้ในการโจมตีด้วย ไม่ว่าจะเป็นการโจมตีแบบ Targeted Attack ที่มุ่งเป้าไปยังเหล่าสถาบันการเงินทั่วโลก, การนำมาใช้ในโทรจัน Trojan.Kotver และอื่นๆ อีกมากมาย เนื่องจาก PowerShell นี้ถูกติดตั้งอยู่ภายใน Windows รุ่นใหม่ๆ ทุกเครื่องและองค์กรเองก็ยังไม่มีการจัดเก็บ Log ในการใช้งาน PowerShell กันมากนัก ทำให้ PowerShell กลายเป็นที่นิยมในการนำมาใช้โจมตี

จากการวิเคราะห์กลุ่มตัวอย่างของทาง Symantec นั้นพบว่า ปัจจุบันมี Malware หลากหลายตระกูลที่ใช้ PowerShell เป็นหลักในการทำงาน โดย Malware 3 ตระกูลที่ใช้ PowerShell มากที่สุดมีดังนี้

โดย Malware เหล่านี้ใช้การแพร่กระจายผ่านทางการทำ Spam Email ทั้งหมด ซึ่ง 6 เดือนที่ผ่านมา Symantec ได้ทำการบล็อค Email กว่า 466,028 ฉบับที่มีการแนบ JavaScript ต้องสงสัยเข้ามา ซึ่งถึงแม้ปัจจุบัน JavaScript ต้องสงสัยเหล่านี้จะยังไม่ทำการโหลดไฟล์อื่นๆ เข้ามาใช้ในการโจมตีผ่านทาง PowerShell ทั้งหมด แต่แนวโน้มก็กำลังเติบโตขึ้นเรื่อยๆ รวมถึงยังมีการใช้ PowerShell ในการถอนการติดตั้งของระบบรักษาความปลอดภัยภายในเครื่อง, ตรวจสอบว่าระบบนี้คือ Sandbox หรือไม่ หรือแม้แต่การพยายามดักฟังข้อมูลในเครือข่ายเพื่อขโมยรหัสผ่านอีกด้วย

นอกจากนี้อีกประเด็นหนึ่งที่น่าสนใจเกี่ยวกับ PowerShell คือการที่มันสามารถทำ Obfuscation ได้ด้วยวิธีการหลากหลายรูปแบบเพื่อไม่ให้คนทั่วไปเข้าใจได้ว่า Script นี้ต้องการจะทำอะไรกับระบบ โดยจากการวิเคราะห์ภัยคุกคาม 111 ตระกูลที่ใช้ PowerShell นั้น ทาง Symantec ก็พบว่ามีเพียง 8% เท่านั้นที่มีการทำ Obfuscation ที่ระดับตัวอักษร และไม่พบการสุ่มในระดับของลำดับคำสั่งเลย

ผู้ที่สนใจรายละเอียดเพิ่มเติมสามารถศึกษาข้อมูลได้ที่ Whitepaper แจกฟรีหัวข้ออ The increased use of PowerShell in attacks ได้ที่ https://www.symantec.com/content/dam/symantec/docs/security-center/white-papers/increased-use-of-powershell-in-attacks-16-en.pdf เลยนะครับ

ที่มา: https://www.symantec.com/connect/blogs/powershell-threats-surge-954-percent-analyzed-scripts-were-malicious



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Juniper Networks ออก Wi-Fi 6 AP ใหม่ 4 รุ่น ตอบโจทย์การใช้งานอย่างครอบคลุม

Juniper ได้เพิ่มความสามารถในการแข่งขันเรื่องของ Access Point รุ่นใหม่ที่สามารถรองรับเทคโนโลยี Wi-Fi 6 โดยมีให้เลือกกันเพิ่มได้ถึง 4 รุ่น

Alcatel-Lucent Enterprise แจกฟรีเอกสาร Cybersecurity in Governments and Smart Cities สรุปสถิติและวิสัยทัศน์จากยุโรป

ประเด็นด้าน Cybersecurity นั้นนับวันจะยิ่งทวีความสำคัญมากขึ้นเรื่อยๆ โดยเฉพาะอย่างยิ่งสำหรับหน่วยงานภาครัฐและโครงการ Smart City ที่มักมีความซับซ้อนสูงและมีข้อมูลสำคัญถูกบันทึกจัดเก็บอยู่ภายใน ซึ่งก็ทำให้ตกเป็นเป้าของการโจมตีรูปแบบต่างๆ ดังนั้นทาง Alcatel-Lucent Enterprise จึงได้จัดทำแบบสำรวจร่วมกับ IDC ในการศึกษาถึงแนวโน้มด้าน Cybersecurity ของหน่วยงานภาครัฐและโครงการ Smart City ในยุโรปขึ้นมา เพื่อให้ผู้ที่สนใจนำไปศึกษาได้ทันที