Les cybercriminels utilisent des malwares basés sur PowerShell

Les cybercriminels ont mis au point des logiciels malveillants de plus en plus sophistiqués qui utilisent des scripts Windows PowerShell afin d'éviter d'être repéré.

Pour rappel, Windows PowerShell est une ligne de commande et un environnement de scripting, ayant pour but de simplifier la vie des administrateurs en permettant l'automatisation de tâches via ces scripts. Il est installé par défaut depuis Windows 7 mais est également disponible sous Windows XP en installation un package à part.

L'abus de la puissance de Windows PowerShell à des fins malveillantes n'est pas nouveau, mais ces derniers temps il semble que certains développeurs de malwares s'y intéressent très sérieusement. D'ailleurs, les chercheurs en sécurité de Symantec et Trend Micro ont déjà trouvé certaines de ces menaces.

logo-symantecUn nouveau script PowerShell malveillant a été identifié, détecté comme Backdoor par Symantec. Roberto Sponchioni, chercheur en sécurité chez Symantec précise d'ailleurs que les Trojans "sont capables d'injecter du code malveillant dans rundll32.exe afin qu'il puisse se cacher sur l'ordinateur tout en exécutant et en agissant comme une backdoor".

A l'exécution, le script compile et exécute du code malicieux qu'il embarque. Le code compilé injecte une couche de code malicieux dans le processus système rundll32, dans le but de rendre la détection plus difficile. Une fois le processus infecté, le malware établit une connexion avec un serveur distant et attend que des instructions lui soit transmises, pour ensuite les exécuter de façon discrète, précise Roberto Sponchioni.

Fin Mars, les chercheurs en sécurité de chez Trend Micro alertaient à propos de différentes attaques qui utilisaient des scripts PowerShell connus sous le nom CRIGENT ou Power Worm.

CRIGENT se présentait sous la forme d'un document Word ou Excel malicieux, cela téléchargeait des composants additionnels à l'ouverture, notamment Tor et Polipo Web Proxy.

logo-trendmicro"Un script PowerShell (détecté comme VBS_CRIGENT.LK ou VBS_CRIGENT.SM) est téléchargé, qui comprend tout le code nécessaire pour mener à bien le comportement malveillant de CRIGENT", précise les chercheurs de chez Trend Micro.

Une routine est également intégrée au script afin d'infecter des documents Word et Excel "propres", dans le but de faciliter la propagation de l'attaque.

D'après Symantec, les "utilisateurs doivent éviter d'exécuter des scripts PowerShell inconnus et, ne doivent pas baisser les paramètres d'exécution par défaut de PowerShell afin d'éviter l'exécution potentielle de scripts malveillants"

En ce qui concerne la gestion de l'exécution des scripts, consultez ce tutoriel :

Autoriser/Refuser l'exécution de scripts PowerShell

logo-powershell5
Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau et cofondateur d'IT-Connect. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian a publié 3130 articlesVoir toutes les publications de cet auteur

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.