Carbon Black ha detectado, gracias al análisis de más de 1.100 investigaciones por separado de 20 empresas de seguridad, que PowerShell se utilizó en el 38% de los ataques que se analizaron. Asimismo, en el 31% de los casos de todos los ataques en donde se encontraron rastros de PowerShell los usuarios no recibieron  ninguna advertencia sobre los ataques en curso, lo que confirma la dificultad para detectarlos.

El problema con PowerShell es que al ser una tecnología ubicua dentro del ecosistema del Windows, su detección es imposible ya que no se conoce un método para distinguir entre el código fuente benigno y el malicioso de PowerShell. Además, kits de herramientas como PowerSploit, PowerShell Empire, p0wnedShell, y el kit de herramientas de Social-Engineer están haciendo que sea más fácil de usar.

Malware-creado-con-PowerShell.png

Bloquear PowerShell no es práctico

Es un problema que no tiene una solución sencilla. Bloquear PowerShell no es una opción, al menos de momento. “A diferencia de otras tecnologías comunes, tales como Java y Adobe Flash, que los administradores de TI pueden eliminar más fácilmente o prohibir, muchas organizaciones y aplicaciones dependen de PowerShell para administrar sus sistemas críticos”, afirman los analistas de Carbon Black. Por todo ello, bloquear PowerShell podría provocar muchos más problemas que los que hay actualmente con el malware. En este caso, la solución es mucho peor que la enfermedad.

En este momento estamos ante un problema complejo que se debería solucionar cuanto antes. Hay que tener en cuenta que el 87% de estos ataques tienen que ver con software malicioso común como el ramsomware o los clics fraudulentos de muchas webs. Es decir, en la gran mayoría de casos estos ataques no están dirigidos contra nadie en concreto. Es lo que se llama shotgun approach malware, o malware de acercamiento de escopeta. De hecho, la mitad de estos ataques estaban relacionados con Vawtrack, un troyano bancario que utiliza PowerShell en su código fuente.

Veremos cómo se acaba solucionando el problema, aunque como decimos es bastante complicado, así como preocupante, que un software creado por Microsoft sea la base de muchos de los virus que circulan por la red.

 

Fuente: Carbon Black | softzone