Picus Security förklarar MITRE ATT&CK PowerShell-teknik

Cybersäkerhetsföretaget Picus Security har gett en djupgående inblick i T1059.001 PowerShell-tekniken, en del av MITRE ATT&CK-ramverket. Denna teknik beskriver hur angripare utnyttjar PowerShell, Windows inbyggda kommandotolk och skriptmiljö, för att exekvera skadlig kod.

PowerShell är ett kraftfullt verktyg som är inkluderat som standard i Windows och ger djupgående åtkomst till systemets interna funktioner. Detta gör det attraktivt både för legitim administration och för missbruk av angripare. Angripare använder PowerShell för att köra kommandon, starta skript, samla systeminformation, ladda ner och exekvera skadeprogram samt interagera med fjärrsystem, ofta utan att lämna några filer på hårddisken.

Eftersom PowerShell är ett betrott och brett utplacerat verktyg, kan dess skadliga användning lätt smälta samman med normal systemaktivitet. Detta hjälper angripare att uppnå sina mål, såsom exekvering, persistens, sidörörelse och undvikande av upptäckt. Picus Securitys analys belyser hur angripare ofta undviker att installera tredjepartsprogram och istället föredrar inbyggda verktyg för att undgå upptäckt.

Rapporten ger exempel på attacker som använder tekniken, inklusive att etablera persistens via register-kö-nycklar (T1547.001) och att lägga till undantag i säkerhetsverktyg som Microsoft Defender för att dölja skadlig kod (T1562.001). Dessa exempel visar på PowerShells mångsidighet och dess centrala roll i modern cyberbrottslighet.