TIPS TECNOLÓGICOS, DE CONFIGURACIÓN Y NEGOCIO QUE COMPLEMENTAN TU SEGURIDAD

¿CÓMO LOS ATAQUES FILELESS SE APROVECHAN DE POWERSHELL? 5 PUNTOS

Escrito por Nat on 26/12/17 14:20

Si bien es cierto, los ataques fileless no necesitan un adjunto para lograr su objetivo, se enfocan en pasar desapercibidos en un código, en este caso para abusar de PowerShell.

Esto sin duda aumenta los riesgos de exponer los sistemas a una gran cantidad de amenazas, como ransomware, malware sin archivos y inyecciones de memoria de códigos maliciosos. Pero para contestar a la pregunta inicial, aquí están los 5 puntos principales por los que los atacantes se aprovechan de PowerShell para diseñar su estrategia de ataque y lograr su objetivo.

1) Escala y alcance

PowerShell es una función incorporada en Windows XP y versiones posteriores de los sistemas operativos de Windows. Desde 2016, también se convirtió en un marco de código abierto y multiplataforma que se puede ejecutar en Linux.

2) Uso legítimo

PowerShell es una herramienta legítima, de hecho no debería ser catalogado como malicioso, sin embargo la línea entre el uso y abuso es muy delgada, eso hace que sea aún más fácil para los cibercriminales infectar un sistema o bien tomar control y llevar a cabo tareas del administrador de TI.

3) Accesibilidad

Así como los scripts de PowerShell son relativamente fáciles de aprender, escribir y ejecutar para la mayoría de los administradores de TI también lo son para los hackers y cibercriminales.

4) Conveniencia    

Es importante destacar que los scripts de PowerShell no son solo fáciles de escribir, sin embargo la  flexibilidad de PowerShell en conjunto con la disponibilidad de módulos de terceros, facilita la forma de ofuscarlos.

5) Capacidad

La facilidad con la que PowerShell puede acceder de forma virtual a un alto rango de API´s ó Interfaces de Programa de Aplicación para ejecutar funciones importantes como VirtualAlloc , VirtualProtect y CreateThread, se vuelve un arma de doble filo, pues todas éstas funciones pueden ser abusadas por los atacantes.

Así que PowerShell está restringido por default para evitar su abuso, de tal forma que los comandos específicos de PowerShell se pueden ejecutar, pero los archivos de scripts no.

Lamentablemente, esto no parece desanimar a los hackers y cibercriminales, se ha identificado que varios programas maliciosos con secuencias de comandos de PowerShell emplean técnicas para eludir la política de ejecución predeterminada de PowerShell, ejecutando el código malicioso como un argumento de línea de comando.

La recomendación #1 es contar con una correcta configuración de PowerShell, evitando que las funciones que no son necesarias estén activas y manteniendo al día las actualizaciones de nuestras soluciones tecnológicas, entre muchos otros puntos más que puedes revisar en

 Aquí te compartimos un breve video con estos 5 puntos de forma visual.

Checa este breve video de 30 seg y conocer por qué

Topics: AtaquesDirgidos, PowerShell, Fileless, filelessmalware


Deja un comentario

No te pierdas lo mejor en Seguridad ¡Suscríbete al blog!

Lists by Topic

see all

Lo que se dice en Smartekh

ver lo mejor en Seguridad
DI-QUE-SI-DEFENSA-INTEGRAL-RANSOMWARE-WANNACRY.jpg
Levanta-ticket-soporte.jpg
Fortalece-a-tu-equipo-con-el-Diplomado.jpg
EBOOK-Guia-de-recomendaciones-practicas-para-prevenir-ataques-por-ransomware.png

Aprende a minimizar la superficie de ataque por Ransomware WannaCry