Windows PowerShell cho phép virus máy tính xâm nhập mà không bị phát hiện?

Bất cứ khi nào một công cụ Windows có quyền truy cập nâng cao vào máy tính, sẽ có người truy đuổi ráo riết, cố gắng tìm cách khai thác nó để chạy phần mềm độc hại trên hệ thống của những người dùng khác. PowerShell cũng không ngoại lệ và những kẻ xấu đã tìm ra cách sử dụng nó gây hỗn loạn trên máy tính của mọi người.

Nhưng PowerShell là gì và làm thế nào để có thể lạm dụng nó?

Windows PowerShell là một công cụ tự động hóa và cấu hình nâng cao. Bạn có thể sử dụng nó để thực thi các lệnh điều chỉnh hệ thống của mình hoặc chạy các script tự động thực hiện các tác vụ phức tạp cho bạn.

Vì PowerShell có quyền hệ thống để thay đổi các cài đặt quan trọng trên PC hoặc chạy các script nhạy cảm với hệ thống, nên những kẻ xấu sẽ tìm cách để nó thực thi mã độc. Tuy nhiên, trước khi đi sâu vào cách có thể lạm dụng nó, cần lưu ý rằng bản thân PowerShell không phải là một ứng dụng độc hại. Nó là một phần cốt lõi của Windows không thể bị vô hiệu hóa.

Điều gì khiến PowerShell trở nên nguy hiểm như vậy?

Khi một tác nhân xấu muốn lợi dụng PowerShell, chúng thường sử dụng một trong hai cách sau: Lừa mọi người thực thi mã độc trong PowerShell hoặc tạo file chạy script độc hại khi mở.

Các tác nhân độc hại thuyết phục mọi người chạy lệnh

Đầu tiên, chúng ta hãy tìm hiểu khi một tác nhân độc hại lừa ai đó chạy lệnh PowerShell. Thủ thuật này thường liên quan đến việc dọa nạn nhân tin rằng họ cần chạy lệnh PowerShell để khắc phục sự cố không tồn tại.

Theo The Register đưa tin, một trong những thủ thuật như vậy liên quan đến việc các tác nhân xấu xâm nhập vào những trang web hợp pháp và thay đổi chúng để hiển thị thông báo lỗi giả. Lỗi này cho biết có điều gì đó không ổn với bản sao Windows, Google Chrome, Office hoặc OneDrive của người dùng. Để khắc phục "sự cố" này, lỗi giả mạo cho biết người dùng nên chạy lệnh PowerShell để khắc phục sự cố.

Tất nhiên, code được cung cấp không sửa chữa bất cứ thứ gì. Thay vào đó, nó yêu cầu PowerShell kết nối với máy chủ, tải xuống file thực thi độc hại từ máy chủ bên ngoài và chạy file đó. Một trường hợp tấn công này sử dụng PowerShell để tải xuống một dropper, sau đó tải 5 chủng phần mềm độc hại khác vào PC mục tiêu.

Một biến thể khác của cuộc tấn công PowerShell "do người dùng kích hoạt" này đã bị phát hiện khi được gửi qua email. Email bao gồm một file HTML được thiết kế trông giống như Microsoft Word. Khi mở ra, nó tuyên bố rằng nó không thể hiển thị thông tin trong tài liệu Word vì một tiện ích mở rộng đã ngừng hoạt động. Sau đó, người dùng được yêu cầu sao chép-dán mã độc vào PowerShell để sửa lỗi hoặc tải xuống một file xấu thực hiện công việc cho kẻ xấu.

File độc hại sử dụng PowerShell để chạy fileless malware

Phiên bản đáng sợ hơn của cuộc tấn công PowerShell sử dụng fileless malware để tấn công mục tiêu. Điều này sử dụng PowerShell để thực hiện các tác vụ độc hại mà không cần tải xuống file trên PC của nạn nhân. Nếu phần mềm độc hại không tải xuống bất kỳ file nào, nó sẽ ngăn phần mềm diệt virus phát hiện, khiến việc tìm và xóa phần mềm độc hại trở nên khó khăn.

Phương pháp tấn công này thường ngụy trang file LNK chứa script độc hại thành một file khác. Trong ví dụ về phim bất hợp pháp, file LNK đã được sửa đổi để trông giống như file video để đánh lừa mọi người chạy nó.