Suchen

Sicherheitslücke in der Befehlszeile von Windows

Hacking-Attacken über die PowerShell

Seite: 2/2

Firmen zum Thema

Administratoren müssen auf der Hut sein

So existieren beispielsweise unterschiedlichste Methoden, um PowerShell-Befehle nach einem Neustart des Computers ausführen zu lassen. Solche „Persistent PowerShell“-Methoden werden auch von Keyloggern eingesetzt und umfassen Autostart-Schlüssel in der Registry, geplante Tasks oder den Startup-Ordner eines Benutzers. Mit WMI-Events & PowerShell Profile existiert darüber hinaus eine Methode, die es Angreifern erlaubt, sehr versteckt zu operieren.

Das Ausführen von PowerShell-Skripts, -Befehlen oder -Remotebefehlen hinterlässt keine Spuren innerhalb der Registry. Die Möglichkeiten der Skriptausführung sind aber durch einen Schlüssel für die Execution-Policy begrenzt, welche standardgemäß auf „Restricted“ gesetzt ist. Cyberkriminelle können diese Registry-Konfiguration jedoch modifizieren, um sich die Arbeit zu erleichtern.

Wird der Standardwert geändert, beeinflusst dies jedoch das Modifikationsdatum – für Administratoren kann dies ein Hinweis auf einen Sicherheitsvorfall sein. Fortschrittliche Angreifer haben jedoch einen Weg gefunden, das Ändern des Wertes komplett zu umgehen, indem die Option „–ExecutionPolicy Bypass“ direkt in die Befehlszeile miteingegeben wird. Das Problem besteht also weiterhin.

Eine wenig komplizierte Möglichkeit, unautorisierte Verwendungen der PowerShell zu entdecken, ist die Überwachung mithilfe verschiedener Ereignisprotokolle, die durch Windows zur Verfügung stehen. In diesen können Start und Stopp von Befehlen, ausgeführte Befehle und Remotebefehle ausgelesen werden. Leider existieren viele dieser Protokolle erst ab der Version PowerShell 3.0. So auch die in dieser Hinsicht vielversprechende Modulprotokollierung.

Den Missbrauch von PowerShell kann man auch auf anderen Wegen bemerken. Wurde die Shell auf einem System gestartet, existiert eine dazugehörige Prefetch-Datei. Diese ist bei forensischen Ermittlungen hilfreich, da unter anderem Informationen zum Zeitpunkt der Ausführungen, deren Anzahl und betroffenen Dateien bereitgestellt werden. Auf diese Weise können auch bösartige PowerShell-Skripte nachgewiesen werden.

Verdeckte Angriffe mittels PowerShell speichern keinerlei Daten auf einer Festplatte. Im Arbeitsspeicher des Computers jedoch, so haben forensische Ermittler festgestellt, bleiben PowerShell-Objekte bis zum Ende der Ausführung eines Remotebefehls bestehen. Fragmente der Objekte sind dort noch bis zum nächsten Neustart des Rechners auffindbar.

Solche Remote-Befehle werden standardgemäß über HTTP oder HTTPS übertragen. Im Netzwerkverkehr kommen dabei standardmäßig die Ports 5985 und 5986 zum Einsatz. Anomalien im Netzwerkverkehr, bei denen Abweichungen vom Standard auf den beiden Ports registriert werden, können ebenfalls ein Hinweis auf einen möglichen unautorisierten Gebrauch der Shell sein.

Geschärftes Bewusstsein kann Schäden verhindern

Als vorinstalliertes Windows-Programm neuerer Windows-Generationen bietet Microsofts PowerShell eine Möglichkeit, mit der Cyberkriminelle mit gleicher Methodik und ohne zusätzliche Werkzeuge oder Malware eine große Zahl von Netzwerken angreifen können.

Systemadministratoren müssen sich der Gefahren des Missbrauchs von PowerShell bewusst sein und können schwerwiegende Folgen für ihr Unternehmen durch umfassenden Schutz verhindern. Ein guter Anfang kann es sein, auf bestimmte Signale – ob modifizierte Registry oder unerwartete Prefetch-Dateien – zu achten.

Martin Zeitler
Martin Zeitler
(Bild: FireEye)
* Martin Zeitler ist Senior Manager im Bereich „Systems Engineering – Central Europe“ bei FireEye.

(ID:43069119)