maciek905 - Fotolia
PowerShell s’impose dans nombre de cyberattaques
Carbon Black confirme l’utilisation de plus en plus répandue de l’outil d’administration PowerShell à des fins malveillantes. Parce qu’il fournit aux attaquants de quoi œuvrer en toute discrétion.
Carbon Black l’assure : PowerShell, outil d’administration des environnements Windows, est bien mis à profit par les pirates pour lancer leurs attaques. Pour arriver à cette conclusion, l’éditeur a consolidé les données relatives à 1100 incidents de sécurité sur lesquels ses partenaires ont été appelés à intervenir. Parmi ces derniers, on compte notamment Ernst & Young, Koll, ou encore Rapid7. Et il apparaît que 38 % des incidents considérés ont impliqué l’utilisation de PowerShell. Plus d’une de ces attaques sur dix (13 %) est de nature ciblée ou avancée.
En décembre dernier, FireEye s’était penché, par l’exemple, sur la manière dont des pirates retournent PowerShell contre leurs cibles. Et Carbon Black aboutit à des conclusions comparables : le vecteur d’injection initiale relève généralement du hameçonnage ciblé, renforcé d’une couche d’ingénierie sociale.
Surtout, le retour à PowerShell permet à l’attaquant d’agir avec une discrétion exemplaire, souvent sans élément visible par l’utilisateur. D’ailleurs, 31 % des partenaires de Carbon Black rapportent que les incidents de sécurité impliquant PowerShell n’ont déclenché aucune alerte. Récemment, les chercheurs de Palo Alto Networks ont d’ailleurs présenté PowerSniff, un logiciel malveillant qui utilise des scripts PowerShell exécutés directement en mémoire vive afin de laisser un minimum de traces. Carbon Black a quant à lui alerté sur PowerWare, un rançongiciel écrit en PowerShell.
Lors de cette édition 2016 de RSA Conference, l’expert et instructeur de l’institut SANS Ed Skoudis a de son côté souligné que la trousse à outils PowerShell ouverte Empire attire de plus en plus la curiosité des pirates… comme bien sûr des défenseurs des systèmes d’information. Récemment arrivé en version 1.5, Empire est décrit comme un « agent post-exploitation construit sur des communications sécurisées par chiffrement et une architecture ciblée. Il implémente la possibilité de mettre en œuvre des agents PowerShell sans avoir besoin de powershell.exe, avec des modules rapidement déployables – du simple enregistrement de saisie clavier à Mimikatz –, ainsi que des communications adaptatives pour échappe à la détection réseau, le tout regroupé dans un framework centré sur l’utilisabilité ».
Mi-mars, Will Schroeder, chercheur au sein de la division Adaptive Threat du Veris Group, a fait la démonstration de PowerView, un outil de collecte d’informations sur les annuaires Active Directory qui a le mérite, pour les attaquants, d’être compatible avec PowerShell 2.0 : il est indépendant du module d’administration de serveur à distance pour AD qui ne fonctionne qu’avec PowerShell 3.0 et plus.
Bien conscient de l’attractivité de PowerShell pour les attaquants, Microsoft pousse à l’adoption de sa version 5.0 depuis juin dernier. Liée à Windows 10, cette mouture fait la part belle à la sécurité. Mais rien ne dit, hélas, que cette adoption soit rapide.
Se référant à PowerShell 3.0, déjà plus sûr que ses prédécesseurs, Gérôme Billois, responsable de la practice sécurité de Solucom, soulignait l’an passé dans nos colonnes la difficulté de son adoption, « comme avec toutes les montées de version. Ce n’est pas qu’un changement technique et cela demande de valider des scripts qui sont assez largement utilisés en production aujourd’hui. Le risque d’impact est évident. D’autant plus que, souvent, il n’y a pas de cartographie des endroits où sont utilisés les scripts ». Et il faut également tenir compte des différences de jeux de commandes accessibles d’une version de Windows à l’autre…