PowerShell، بازیگر نقش اول بیش از نیمی از حملات بدافزاری

بر اساس گزارشی که آی‌بی‌ام آن را منتشر کرده است در 57 درصد حملات سایبری سال 2018، از فایل‌ها و پروسه‌های معتبری همچون PowerShell برای اجرای کدهای مخرب بهره گرفته شده است.

در فرایند آلوده‌سازی دستگاه، نیاز به برنامه یا نرم‌افزاری برای فراخوانی و اجرای کدهای مخرب مورد نظر مهاجم است. تا همین چندی پیش مهاجمان خود اقدام به توسعه فایل‌های اجرایی برای این منظور می‌کردند. فایل‌هایی که در مدتی نه چندان طولانی به‌عنوان بدافزار توسط محصولات ضدویروس شناسایی می‌شدند.

اما از چند سال گذشته، به‌تدریج مهاجمان به استفاده و بهره‌گیری از پروسه‌هایی نظیر PowerShell برای اجرای کدهای مخرب خود که در برخی موارد در فایل‌های در ظاهر بی‌خطر ذخیره می‌شوند روی آورده‌اند.

به گزارش شرکت مهندسی شبکه گستر، PowerShell یکی از پروسه‌های Windows است که مدیران و راهبران شبکه را قادر به استخراج و تحلیل انواع داده‌های سیستمی می‌کند. اما در عین حال زبان اسکریپت‌نویسی و موتور اجرایی آن نیز به افراد بدخواه امکان می‌دهد که انواع امور مخرب – از سرقت رمزهای عبور گرفته تا استخراج ارز رمز – را به‌سادگی به اجرا درآورند.

با توجه به اینکه در بسیاری موارد، بدافزار بر روی دیسک ذخیره نشده و کدهای مخرب در حافظه توسط یک پروسه معتبر فراخوانی می‌شوند، این نوع حملات به بدون فایل یا Fileless معروف شده‌اند. حملاتی که محصولات ضدویروس موسوم به مبتنی بر امضا از شناسایی آن عاجز هستند.

در گزارش آی‌بی‌ام اشاره شده که این شرکت به نمونه‌هایی برخورد کرده که در آن PowerShell تنها پروسه اجراکننده بوده است.

این یافته‌ها یادآور این نکته است که مقابله مؤثر با بدافزارها و تهدیدات امروزی مستلزم بکارگیری راهکارهای پیشرفته امنیت نقاط پایانی از جمله محصولات ضدویروس مجهز به قابلیت‌های هوش مصنوعی و رفتارشناسی است.

گزارش آی‌بی‌ام در اینجا قابل دریافت و مطالعه است.