Gajus - Fotolia
PowerShell : un puissant outil pour les attaquants
FireEye se penche, par l’exemple, sur la manière dont des pirates retournent PowerShell contre leurs cibles. Et d’encourage à la surveillance de son utilisation.
Deux chercheurs de FireEye viennent de détailler, exemples concrets et réels à l’appui, différentes méthodes employées par des attaquants pour voler des données à leurs cibles, en s’appuyant sur PowerShell.
A l’occasion d’enquêtes conduites au sein d’entreprises compromises, les équipes de FireEye ont ainsi observé un exécutable Windows téléchargeant un script PowerShell depuis un site Web russe « d’apparence légitime ». Ce script est exécuté de manière silencieuse, sans élément visible par l’utilisateur et copie des éléments du poste de travail susceptible de contenir des identifiants, à commencer par le fichier où le navigateur Chrome stocke ces données, tout en collectant des métadonnées sur le système compromis. Ces données sont chiffrées et compressées dans un fichier ZIP et transmises… par e-mail. L’algorithme RC4 est implémenté directement dans le script PowerShell qui, accessoirement, contient la clé de chiffrement utilisée.
Un autre script, plus élaboré, a été observé, intégrant la recherche de services susceptibles de trahir une exécution dans une machine virtuelle. Si tel est le cas, le logiciel malveillant associé interrompt son fonctionnement. Sinon, il s’attaque aux cookies présents sur la machine, s’intéressant en particulier à ceux liés notamment aux réseaux sociaux et aux services bancaires. Les auteurs de ce script ont en outre recours à des commandes encodées en Base64 pour en cacher les activités.
Le vecteur d’entrée pour ces scripts PowerShell ? Dans certains cas, les équipes de FireEye ont relevé le recours à des macros intégrées à des documents bureautiques transmis en pièce jointe dans le cadre de campagnes de hameçonnage.
En conclusion, les équipes de FireEye souligne que « PowerShell est désormais utilisé souvent dans le cadre d’attaques. L’utilisation de Powershell, en particulier dans les environnements corporate, devrait être bien régulé et surveillé avec des traces étendues ».
Début août dernier, une nouvelle boîte à outils pour attaquants, basée sur PowerShell, a été présentée. Baptisée Empire, elle « implémente la possibilité d’exécuter des agents PowerShell sans avoir besoin de powershell.exe », mais également des « modules rapidement déployables post-exploitation », comme des enregistreurs de saisie au clavier, notamment, ou encore le célèbre Mimikatz, dédié à l’extraction de mots de passe en mémoire.
Les capacités d’enregistrement de traces étendues de PowerShell 3.0 permettent de détecter les activités d’Empire dans son infrastructure. Mais encore faut-il les activer et, surtout, disposer de cette version de PowerShell.
Se référant à PowerShell 3.0, déjà plus sûr que ses prédécesseurs, Gérôme Billois, responsable de la practice sécurité de Solucom, soulignait dans nos colonnes, fin avril, la difficulté de son adoption, « comme avec toutes les montées de version. Ce n’est pas qu’un changement technique et cela demande de valider des scripts qui sont assez largement utilisés en production aujourd’hui. Le risque d’impact est évident. D’autant plus que, souvent, il n’y a pas de cartographie des endroits où sont utilisés les scripts ». Et il faut également tenir compte des différences de jeux de commandes accessibles d’une version de Windows à l’autre…
Plus récemment, Microsoft faisait quant à lui la promotion de la version 5.0 de son outil d’administration, arrivée avec Windows 10, et multipliant les apports de sécurité.