Picus Security selittää MITRE ATT&CKin PowerShell-tekniikan

Kyberturvallisuusyritys Picus Security on tarjonnut syvällisen katsauksen T1059.001 PowerShell -tekniikkaan, joka on osa MITRE ATT&CK -viitekehystä. Tämä tekniikka kuvaa, kuinka hyökkääjät hyödyntävät Windowsin sisäänrakennettua PowerShell-komentotulkki- ja skriptausympäristöä haitallisen koodin suorittamiseen.

PowerShell on tehokas työkalu, joka sisältyy oletusarvoisesti Windowsiin ja tarjoaa laajamittaisen pääsyn järjestelmän sisäisiin toimintoihin. Tämä tekee siitä houkuttelevan sekä lailliselle hallinnoinnille että haitalliselle käytölle. Hyökkääjät käyttävät PowerShellia komentojen suorittamiseen, skriptien käynnistämiseen, järjestelmätietojen keräämiseen, haittaohjelmien lataamiseen ja suorittamiseen sekä etäkohteiden hallintaan, usein jättämättä lainkaan tiedostojälkiä levylle.

Koska PowerShell on luotettu ja laajalti käytetty työkalu, sen haitallinen käyttö voi helposti sulautua normaaliin järjestelmän toimintaan. Tämä auttaa hyökkääjiä saavuttamaan tavoitteensa, kuten suorituksen, pysyvyyden, sivuttaisliikkeen ja puolustuksen kiertämisen. Picus Securityn analyysi korostaa, kuinka hyökkääjät välttävät usein kolmannen osapuolen ohjelmistojen asentamista ja suosivat sen sijaan natiiveja työkaluja havaitsemisen välttämiseksi.

Raportissa esitellään esimerkkejä hyökkääjien käyttämistä menettelytavoista, kuten pysyvyyden varmistaminen rekisterin ajokomennolla (T1547.001) ja turvatyökalujen, kuten Microsoft Defenderin, poissulkemisten lisääminen haittaohjelmien toiminnan piilottamiseksi (T1562.001). Nämä esimerkit osoittavat PowerShellin monipuolisuuden ja sen keskeisen roolin modernissa kyberrikollisuudessa.