# Форум на русском языке  > Основы информационной безопасности  > Общая сетевая безопасность  >  Symantec: Большинство скриптов PowerShell являются вредоносными

## olejah

PowerShell, язык сценариев и оболочка с интерфейсом командной строки, установленная по умолчанию на большинстве компьютеров под управлением Windows, постепенно становится излюбленным средством злоумышленников для атак.

Согласно новому отчету Symantec, было обнаружено более 95% вредоносных скриптов PowerShell. Гибкость этого инструмента позволяет хакерам загружать вредоносные программы, выполнять разведывательные операции и перемещаться между сетями. Если верить отчету Symantec, то это представляет собой серьезную угрозу, как для потребителей, так и для бизнеса.

Многие из недавно обнаруженных атак проводились с помощью сценариев PowerShell, в том числе те, что были инициированы группой Odinaff и авторами трояна Kovter. Использование PowerShell позволяет создавать бестелесные заражения и авторы банковских троянов уже взяли этот метод на вооружение.

Наиболее свежим примером вредоноса, использующего PowerShell является August, предназначенный для кражи учетных данных и конфиденциальных файлов. Угроза распространяется через вредоносные документы Word, содержащие макросы, которые после включения запускают команду PowerShell для загрузки и установки окончательной вредоносной составляющей.

Исследователи Symantec утверждают, что они наблюдали много других случаев, когда для загрузки и установки вредоносных программ использовались макросы и скрипты PowerShell. Самыми распространенными семействами вредоносных программ, использующими PowerShell на данный момент являются: W97M.Downloader (9.4% от общего числа проанализированных образцов), Trojan.Kovter (4.5%), и JS.Downloader (4%). Symantec отмечают, что особое внимание уделялось использованию PowerShell в атаках.

Изолированная программная среда (песочница) Symantec Blue Coat Malware Analysis обнаружила 49 127 скриптов PowerShell только в этом году. Исследователи безопасности также вручную проанализировали 4 782 образца, которые представляют в общей сложности 111 семейств вредоносных программ. 

По словам Symantec, злоумышленники, в основном, используют PowerShell-скрипты после заражения для загрузки дополнительной вредоносной нагрузки. Они также используют различные методы, чтобы убедиться, что скрипты запустятся, например, используют расширения, отличные от .ps1.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Val_Ery

> Согласно новому отчету Symantec, было обнаружено более 95% вредоносных скриптов PowerShell.


Немного не так...
Цитата:



> Of all of the PowerShell scripts analyzed through the BlueCoat Malware Analysis sandbox, 95.4 percent were malicious. This shows that externally sourced PowerShell scripts are a major threat to enterprises.


То есть, есть некая песочница для анализа угроз BlueCoat Malware Analysis, посредством которой проанализировали некоторое количество повер-шел скриптов. Нет НИ слова (в саймантековом релизе) ни об общем количестве проанализированных скриптов (может, их было всего 5  :Smiley:  ), ни о том, как эти скрипты попадали в песочницу (их им присылали или они просто анализировали атаки на свой собственный ресурс)...

Но вот маркетологи от symantec решили преподнести всё это в виде
1) из всех повер-шел скриптов - 95,4% вредоносны, не верите - почитайте отчет наших специалистов;
2) чтобы защититься - обновите повер-шел (???);
3) а вот пользователи наших корпоративных продуктов уже защищены от 95% всех повер-шел скриптов.

Результат: заявление symantec есть не что иное как обычный рекламный вброс в борьбе за клиента между антивирусными компаниями (по типу, как доктор веб постоянно находит троянцев под Линукс). Насколько это имеет отношение к реальности - абсолютно не понятно.

----------


## olejah

> Нет НИ слова (в саймантековом релизе) ни об общем количестве проанализированных скриптов (может, их было всего 5  ), ни о том, как эти скрипты попадали в песочницу (их им присылали или они просто анализировали атаки на свой собственный ресурс)...


Некие цифры все же есть:




> The numbers come from the Symantec Blue Coat Malware Analysis sandbox, which saw 49,127 PowerShell scripts submitted this year alone. The security researchers also manually analyzed 4,782 recent distinct samples that represent a total of 111 malware families that abuse the PowerShell command line.


А заявление есть заявление. Никто не гарантирует его стопроцентное отношение к реальности, но донести до народа, что вот такое заявление имеет место - другой вопрос.

----------

Val_Ery

----------

