Iets meer dan twee jaar geleden was bijvoorbeeld de aanval die voornamelijk via PowerShell werd uitgevoerd nog een nieuw fenomeen, inmiddels is het dé populairste tool bij aanvallen op financiële instituten. Aanvallers die gebruikmaken van legitieme admintools kunnen zo hun infiltratie beter onopgemerkt houden, omdat het lastiger is malafide gebruik van legitieme tools te detecteren.

Rechten escaleren

In een nieuw rapport stelt beveiligingsbedrijf Carbon Black dat meer dan vijftig procent van inbraken bij banken nu bestaat uit zogenoemde bestandsloze aanvallen. Daarbij wordt geen gebruik gemaakt van traditionele malware, maar voeren aanvallers een slimmere hack uit via tools als PowerShell of Windows-beheerframework WMI.

Bron: Modern Bank Heists: Cyberattacks & Lateral Movement in the Financial Sector, Carbon Black

Eenmaal binnen via een klassieke aanpak - bijvoorbeeld door een werknemer ergens op te laten klikken, waardoor een bug in diens software wordt ingezet om onrechtmatige toegang te verlenen tot de client - kunnen aanvallers zulke tools gebruiken om rechten te escaleren of nieuwe netwerkbronnen te indexeren en verder te bewegen binnen het IT-systeem.

Eén bitje tussen goed en slecht

Ook beveiligingsbedrijf McAfee waarschuwde eerder dit jaar al voor een explosieve groei van PS-malware. Vorig jaar wees een CTO van dat bedrijf op beveiligingscongres MPOWER dat het verschil tussen een malafide PowerShell-script en een legitieme een één of een nul kan zijn. Hij haalde in een voorbeeld een script aan om SMBv1 in te schakelen om zo een IT-systeem kwetsbaar te maken voor een EternalBlue-exploit.