PowerShell : de nombreux scripts sont malicieux

C’était au printemps dernier. Carbon Black l’assurait : PowerShell, outil d’administration des environnements Windows, est bien mis à profit par les pirates pour lancer leurs attaques. Pour arriver à cette conclusion, l’éditeur avait consolidé les données relatives à 1100 incidents de sécurité sur lesquels ses partenaires ont été appelés à intervenir. Parmi ces derniers, on comptait notamment Ernst & Young, Koll, ou encore Rapid7. Et 38 % des incidents considérés avaient impliqué l’utilisation de PowerShell. Plus d’une de ces attaques sur dix (13 %) était de nature ciblée ou avancée.

En fait, l’intérêt des cybercriminels pour PowerShell semble considérable. C’est du moins la conclusion à laquelle on est tenté d’aboutir à la lecture d’un billet de blog dans lequel Symantec livre les résultats de l’analyse de tous les scripts PowerShell analysés par le bac à sable de BlueCoat – pour mémoire, le premier s’est offert le second au mois de juin pour 4,7 Md$. De fait, plus de 95 % de ces scripts interceptés se sont avéré malicieux. Au total, 111 familles de menaces utiliseraient aujourd’hui PowerShell.

Selon Candid Wueest, chercheur chez Symantec, cet attrait est à attribuer à la flexibilité qu’offre l’outil d’administration de Microsoft pour transférer les charges actives ou encore parcourir un réseau infiltré : PowerShell permet d’accéder aisément à toutes les fonctions principales du système d’exploitation. Et son utilisation peut ne laisser finalement que peu de traces. L’outil ayant en outre des usages légitimes populaires, il n’est pas systématiquement surveillé.

En tout cas, selon Wueest, ces chiffres « montrent que les scripts PowerShell provenant de l’extérieur représentent une menace majeure pour les entreprises ». Et de citer quelques exemples, à commencer par le groupe Odinaff qui a eu recours à de tels scripts pour attaquer des institutions financières, ou encore les pirates à l’origine du cheval de Troie Kotver « qui utilisent le langage interprété pour créer des infections sans fichiers entièrement contenus dans le registre ».  

Le chercheur de Symantec explique que, si tous les fichiers JavaScripts malicieux n’utilisent pas PowerShell pour télécharger des fichiers, « certains des plus récents fonctionnent sur plusieurs étapes, où le script distribué en télécharge un autre qui, à son tour, télécharge la charge utile ». Le tout pour tenter de passer au travers des mécanismes de protection en place.

Symantec s’attend à un recours accru à PowerShell par les attaquants. Et l’éditeur recommande de passer à sa dernière version et « d’activer les capacités étendues de journalisation et de surveillance ».

Bien conscient de l’attractivité de PowerShell pour les attaquants, Microsoft pousse à l’adoption de sa version 5.0 depuis juin dernier. Liée à Windows 10, cette mouture fait la part belle à la sécurité. Mais rien ne dit, hélas, que cette adoption soit rapide.

Se référant à PowerShell 3.0, déjà plus sûr que ses prédécesseurs, Gérôme Billois, responsable de la practice sécurité de Wavestone, soulignait l’an passé dans nos colonnes la difficulté de son adoption, « comme avec toutes les montées de version. Ce n’est pas qu’un changement technique et cela demande de valider des scripts qui sont assez largement utilisés en production aujourd’hui. Le risque d’impact est évident. D’autant plus que, souvent, il n’y a pas de cartographie des endroits où sont utilisés les scripts ». Et il faut également tenir compte des différences de jeux de commandes accessibles d’une version de Windows à l’autre…