Bir Windows aracı bir bilgisayara gelişmiş erişime sahip olduğunda, birileri sıcak bir şekilde takipte, insanların sistemlerinde kötü amaçlı yazılım çalıştırmak için onu kullanmanın yollarını bulmaya çalışıyor. PowerShell bir istisna değildir ve kötü aktörler insanların bilgisayarlarında kaosa neden olmak için kullanmanın yollarını buldular.
PowerShell nedir ve nasıl istismar edilebilir?
Windows’ta PowerShell nedir?
Windows PowerShell gelişmiş bir otomasyon ve yapılandırma aracıdır. Sisteminizi ince ayar yürüten komutları yerine getirmek veya sizin için karmaşık görevleri otomatik olarak yürüten komutları çalıştırmak için kullanabilirsiniz. PowerShell’in ne olduğu ve onunla yapabileceğiniz birçok şey üzerinde bu aracı kılavuzumuzda ele koyduk.
PowerShell, PC’nizdeki önemli ayarları değiştirmek veya sisteme duyarlı komut dosyalarını çalıştırmak için sistem izinlerine sahip olduğundan, kötü ajanlar kötü amaçlı kodu yürütmenin yollarını bulur. Ancak, nasıl kötüye alınabileceğine dalmadan önce, PowerShell’in kendisinin kötü niyetli bir uygulama olmadığını belirtmekte fayda var. Engelli olmayan Windows’un temel bir parçasıdır.
PowerShell’i Bu kadar tehlikeli kılan nedir?
Kötü bir aktör PowerShell’den yararlanmak istediğinde, genellikle iki yoldan birini kullanırlar: insanları PowerShell’de kötü amaçlı kod uygulamak için kandırmak veya açıldığında kötü amaçlı bir senaryo oluşturan bir dosya oluşturmak.
İnsanları Komutları çalıştırmaya ikna edici Kötü Amaçlı Ajanlar
İlk olarak, kötü niyetli bir ajan birini PowerShell komutlarını yönetmeye kandırdığında ele alalım. Bu hile genellikle kurbanı, var olmayan bir sorunu düzeltmek için bir PowerShell komutları yürütmeleri gerektiğine inanmaları için korkutmayı içerir.
The Register tarafından bildirilen bir numara, kötü aktörlerin meşru web sitelerine girmelerini ve sahte bir hata mesajı görüntülemek için değiştirmeyi içerir. Bu hata, kullanıcının Windows, Google Chrome, Office veya OneDrive kopyasıyla ilgili bir şeylerin yanlış olduğunu iddia ediyor. Bu “sorun” düzeltmek için, sahte hata, kullanıcının sorunu onarmak için bir PowerShell komutuyla çalışması gerektiğini iddia ediyor.
Tabii ki, verilen kod hiçbir şeyi onaramaz. Bunun yerine, PowerShell’e bir sunucuya bağlanmalarını, harici bir sunucudan icra edilebilir bir kötü amaçlı kullanmalarını ve çalıştırdığını söyler. Bu saldırının bir örneği, PowerShell’i bir damlalık indirmek için kullandı ve daha sonra hedef PC’ye beş kötü amaçlı yazılım suşu indirdi.
Bu “kulakla etkinleştirici” PowerShell saldırısının bir başka varyantının e-posta yoluyla gönderildiğini tespit etti. E-postada Microsoft Word gibi görünmek için tasarlanmış bir HTML dosyası yer aldı. Açıldığında, bir uzantı çalışmayı bıraktığı için Word belgesinde bilgiyi görüntüleyemediğini iddia etti. Kullanıcıdan daha sonra kötü amaçlı kodu düzeltmek veya kötü aktör için işi yeni bir dosya indirmek için PowerShell’e kopyaladığından istanidi.
Dosyasız Kötü Amaçlı Yazılımı Çalışır için PowerShell’i Kullanır Kötü Amaçlı Dosyalar
PowerShell saldırısının daha korkutucu versiyonu, hedefe saldırmak için dosyasız kötü amaçlı yazılımlar kullanıyor. Bu, PowerShell’i kurbanın PC’sine dosya indirmeden kötü amaçlı görevleri yürütmek için kullanır. Kötü amaçlı yazılım herhangi bir dosyayı indirmezse, antivirüs yazılımının onu tespit etmemesi, bulunması ve kaldırmayı zor hale getirmesi anlamına gelendir.
Bu saldırının sinsi bir versiyonunu, yasadışı film indiricilerine saldıran kötü amaçlı yazılım yazımızda ele adadık. Bu saldırı yöntemi genellikle başka bir dosya olarak kötü amaçlı bir komut dosyası içeren bir LNK dosyasını gizlemek. Yasadışı film örneğinde, LNK dosyası, insanları çalıştırmak için kandırmak için bir video dosyası gibi görünecek şekilde değiştirildi.
PowerShell Saldırılarından Nasıl Kaçınilir
PowerShell saldırılarından kaçınmak için adımlar atmadaki sorun, PowerShell’e komutlara girmenizi gerektiren meşru düzeltmeler olmasıdır. Bu şekilde, bir komuta girmeden önce, biraz zaman ayırmak ve kaynağın ne kadar güvenilir olduğunu düşünmek iyi bir fikirdir.
Bir düzeltme arıyorsanız ve bir komut kullanmanız gerektiğini belirten saygın ve saygın bir web sitesi arıyorsanız, onu yürütmek iyi olmalıdır. Panik yapmanızı sağlamak için tasarlanmış sahte bir hata mesajından size geliyorsa, zarar görecek.
Bir komut görürseniz ve ne yaptığını emin değilseniz, çevrimiçi olarak aramayı deneyin. Faydalıysa, komut önereni önerenin sonuçlarını bulmalısınız. Hiçbir şey bulamazsanız (veya bunu kötü niyetli olarak bildiran birini bile bulursanız), koşmak iyi bir fikir değildir.
Yanlışlıkla bir PowerShell saldırısı yürüteliyseniz, kötü amaçlı yazılım için yapmayı deneyebilirsiniz. Ancak, daha önce ele aldığımız gibi, PowerShell saldırıları kendilerini mümkün olduğunca tespit edilemez hale getirmek için ellerinden geleni yapacaklar. Bir PowerShell komutunu çalıştırdıktan sonra bir şey fark ederseniz, en iyi bahsiniz, her şeyin silinmesini sağlamak için işletim sisteminizi temizlemektir.
PowerShell kendi başına, PC’niz üzerinde gelişmiş kontrol sağlayan kullanışlı bir araçtır. Ancak, bazı kötü aktörler insanları bunu kötüye kullanmak için kandırmaya çalışır. Neyse ki, zekanızı sizinle ilgili tutarsanız, bir tanesi tarafından vurulmaktan kaçınabilirsiniz.