Picus Security erklärt MITRE ATT&CK PowerShell-Technik

Das Cybersicherheitsunternehmen Picus Security hat einen tiefen Einblick in T1059.001 PowerShell gegeben, eine Untertechnik im MITRE ATT&CK-Framework. Diese Technik beschreibt, wie Angreifer PowerShell, die integrierte Windows-Befehlszeilen- und Skripting-Umgebung, zur Ausführung von Schadcode nutzen.

PowerShell ist ein leistungsfähiges Werkzeug, das standardmäßig in Windows enthalten ist und tiefen Zugriff auf die Systeminterna ermöglicht. Dies macht es sowohl für die legitime Administration als auch für böswillige Zwecke attraktiv. Angreifer nutzen PowerShell, um Befehle auszuführen, Skripte zu starten, Systeminformationen zu sammeln, Payloads herunterzuladen und auszuführen sowie mit entfernten Systemen zu interagieren, oft ohne Dateien auf der Festplatte zu hinterlassen.

Da PowerShell ein vertrauenswürdiges und weit verbreitetes Werkzeug ist, kann sein missbräuchlicher Einsatz leicht mit normalen Systemaktivitäten verschmelzen. Dies hilft Angreifern, Ziele wie Ausführung, Persistenz, laterale Bewegung und Umgehung von Abwehrmaßnahmen zu erreichen. Die Analyse von Picus Security hebt hervor, wie Angreifer oft die Installation von Drittanbieterprogrammen vermeiden und stattdessen native Werkzeuge zur Umgehung der Erkennung bevorzugen.

Der Bericht enthält Beispiele für Vorgehensweisen von Angreifern, darunter die Etablierung von Persistenz über Registry Run Keys (T1547.001) und das Hinzufügen von Ausschlüssen zu Sicherheitstools wie Microsoft Defender, um Malware-Operationen zu verbergen (T1562.001). Diese Beispiele verdeutlichen die Vielseitigkeit von PowerShell und seine entscheidende Rolle bei modernen Cyberbedrohungen.