Powershell : bien malgré lui, l’allié préféré des cyber attaquants

Red Canary vient de publier l’édition 2019 de son rapport sur les techniques des cyber-délinquants. Basé sur l’analyse des menaces observées l’an passé dans les systèmes d’information de ses clients, ce rapport fait ressortir Powershell comme outil particulièrement prisé par les attaquants. Les événements détectés liés à des menaces confirmées sont croisés avec la matrice Att&ck du Mitre et c’est le recours à Powershell (technique T1086), avec 1774 menaces confirmées, qui arrive en tête.

Dans son rapport, Red Canary avance des explications : « Powershell est inclus par défaut dans chaque système d’exploitation Windows depuis 2009. […] Son ubiquité a contribué à sa popularité parmi les adversaires. Ce framework incroyablement puissant [leur] donne la possibilité de réaliser une multitude de tâches d’administration et d’automatisation avec un utilitaire qui est rarement contraint et qu’il est très peu probable de voir tout simplement bloqué par une stratégie système ».

La mise à profit de Powershell par les attaquants n’est pas une nouveauté. Il y a quatre ans, FireEye alertait d’ailleurs sur une approche dont il observait l’adoption croissante. Quelques mois plus tard, l’éditeur revenait sur le sujet pour insister sur son importance. Et le sujet n’est plus exclusif au monde Windows : Powershell Core 6.0 supporte Linux et macOS.

Depuis, l’utilisation de Powershell par les attaquants est loin d’avoir reculé. A l’automne dernier, Kaspersky soulignait que l’utilisation de ce framework – aux côtés d’outils accessibles au public et conçus pour les tests d’intrusion ou l’administration de systèmes – allait croissante, notamment pour réduire les capacités d’attribution des attaques. Sophos ne disait pas autre chose dans son dernier rapport annuel sur l’état de la menace. Au mois de décembre dernier, McAfee faisait quant à lui état d’une progression de 24 % du nombre de nouveaux scripts Powershell malicieux au troisième trimestre, sur un an.

Plus récemment, fin février, Symantec relevait une tendance comparable, assurant que « l’utilisation de scripts Powershell malveillants a augmenté de 1 000 % l’an dernier » : « même si Symantec bloque 115 000 scripts Powershell malveillants par mois, cela représente moins d’un pour cent de leur utilisation globale ».

De son côté, la division X-Force d’IBM indiquait récemment avoir constaté, l’an passé, « une augmentation de l’utilisation abusive des outils du système d’exploitation, au lieu de logiciels malveillants ». Pour la division sécurité du groupe, c’est bien simple : « plus de la moitié des cyberattaques (57 %) ont utilisé des applications d’administration courante comme Powershell et PsExec pour échapper à la détection ». Crowdstrike ne fait pas un constat différent.

Les attaquants à l’origine du rançongiciel LockerGoga, qui est soupçonné d’avoir été impliqué dans plusieurs incidents récents de grande ampleur, semblent également mettre à profit Powershell. Félix Aimé, chez Kaspersky, recommande d’ailleurs vivement d’en activer les fonctions de traçabilité. Une recommandation qui ne date d’ailleurs pas d’hier.