Компания Symantec обнаружила ещё один вредоносный код, написанный на сценарном языке PowerShell, который интегрирован в последние версии Windows и используется для автоматизации администрирования операционной системы. Новый вредоносный сценарий использует методы защиты от анализа собственного кода с помощью кодировки Base64 и архивирования, а также пытается встроить свой код в процесс rundll32.exe. Если это ему удаётся, то он обращается на C&C сервер за дальнейшими инструкциями.
Ранее компанией SophosLabs уже были обнаружены аналогичные вредоносные сценарии на PowerShell, что говорит о активном развитии этого направления у вирусописателей. Используемые в новых операционных системах Windows инструменты защиты показали свою эффективность, что затрудняет хакерам атаки на них, поэтому вирусописателям приходится придумыварть новые механизмы нападения, основанные на недавно созданных компонентах операционной системы. В частности, PowerShell начал использоваться разработчиками Microsoft для автоматизации настроек, что позволяет с его помощью встроить собственные вредоносные элементы в уже существующие сценарии на этом языке.
Пока не совсем понятно насколько готовы разработчики средств защиты к анализу кодов PowerShell и интеграции во вполне легитимные сценарии посторонних фрагментов. Аналогичная проблема сейчас существует для CMS-систем, написанных на PHP, и пока эффективной защиты от такого типа атак не придумано.
Новости интересные и малоизвестные из IT индустрии
Больше статей
Плагин для онлайн курсов LearnPress на WordPress потенциально уязвим
Специалисты по кибербезопасности BitSight обнаружили серию критических уязвимостей в популярном GPS-трекере
Анонсирован первый SSD диск на российском контроллере Kraftway К1942ВК018