28.10.2021

Hack Pub

Новости интересные и малоизвестные из IT индустрии

Обнаружен ещё один вредонос на PowerShell

Компания Symantec обнаружила ещё один вредоносный код, написанный на сценарном языке PowerShell, который интегрирован в последние версии Windows и используется для автоматизации администрирования операционной системы. Новый вредоносный сценарий использует методы защиты от анализа собственного кода с помощью кодировки Base64 и архивирования, а также пытается встроить свой код в процесс rundll32.exe. Если это ему удаётся, то он обращается на C&C сервер за дальнейшими инструкциями.

Ранее компанией SophosLabs уже были обнаружены аналогичные вредоносные сценарии на PowerShell, что говорит о активном развитии этого направления у вирусописателей. Используемые в новых операционных системах Windows инструменты защиты показали свою эффективность, что затрудняет хакерам атаки на них, поэтому вирусописателям приходится придумыварть новые механизмы нападения, основанные на недавно созданных компонентах операционной системы. В частности, PowerShell начал использоваться разработчиками Microsoft для автоматизации настроек, что позволяет с его помощью встроить собственные вредоносные элементы в уже существующие сценарии на этом языке.

Пока не совсем понятно насколько готовы разработчики средств защиты к анализу кодов PowerShell и интеграции во вполне легитимные сценарии посторонних фрагментов. Аналогичная проблема сейчас существует для CMS-систем, написанных на PHP, и пока эффективной защиты от такого типа атак не придумано.