Picus Security explique la technique PowerShell du MITRE ATT&CK

La société de cybersécurité Picus Security a offert un aperçu approfondi de T1059.001 PowerShell, une sous-technique du framework MITRE ATT&CK. Cette technique décrit comment les attaquants exploitent PowerShell, un interpréteur de commandes et environnement de script intégré à Windows, pour exécuter du code malveillant.

PowerShell est un outil puissant inclus par défaut dans Windows, offrant un accès approfondi aux entrailles du système. Cela le rend attractif à la fois pour l'administration légitime et pour une utilisation malveillante. Les attaquants utilisent PowerShell pour exécuter des commandes, lancer des scripts, collecter des informations système, télécharger et exécuter des charges utiles, et interagir avec des systèmes distants, souvent sans laisser de fichiers sur disque.

Étant donné que PowerShell est un outil fiable et largement déployé, son utilisation par des acteurs malveillants peut facilement se fondre dans l'activité normale du système. Cela aide les attaquants à atteindre leurs objectifs, tels que l'exécution, la persistance, le mouvement latéral et l'évasion des défenses. L'analyse de Picus Security souligne comment les attaquants évitent souvent d'installer des logiciels tiers, préférant les outils natifs pour échapper à la détection.

Le rapport présente des exemples de procédures utilisées par les attaquants, notamment l'établissement de la persistance via les clés d'exécution du registre (T1547.001) et l'ajout d'exclusions aux outils de sécurité comme Microsoft Defender pour dissimuler les opérations de malware (T1562.001). Ces exemples démontrent la polyvalence de PowerShell et son rôle essentiel dans les menaces cybernétiques modernes.