هر زمان که ابزار ویندوز دسترسی پیشرفته ای به رایانه داشته باشد، شخصی به شدت در تعقیب است و سعی می کند راه هایی را برای سوء استفاده از آن برای اجرای بدافزار در سیستم های افراد بیابد. PowerShell نیز از این قاعده مستثنی نیست و بازیگران بد راه هایی برای استفاده از آن برای ایجاد هرج و مرج در رایانه افراد پیدا کرده اند.
خلاصه عناوین
- PowerShell در ویندوز چیست؟
- چه چیزی پاورشل را بسیار خطرناک می کند؟
- چگونه از حملات PowerShell جلوگیری کنیم
هر زمان که ابزار ویندوز دسترسی پیشرفته ای به رایانه داشته باشد، شخصی به شدت در تعقیب است و سعی می کند راه هایی را برای سوء استفاده از آن برای اجرای بدافزار در سیستم های افراد بیابد. PowerShell نیز از این قاعده مستثنی نیست و بازیگران بد راه هایی برای استفاده از آن برای ایجاد هرج و مرج در رایانه افراد پیدا کرده اند.
اما PowerShell چیست و چگونه می توان از آن سوء استفاده کرد؟
PowerShell در ویندوز چیست؟
Windows PowerShell یک ابزار اتوماسیون و پیکربندی پیشرفته است. می توانید از آن برای اجرای دستوراتی استفاده کنید که سیستم شما را تغییر می دهند یا اسکریپت هایی را اجرا کنید که به طور خودکار وظایف پیچیده را برای شما اجرا می کنند. ما این ابزار را در راهنمای خود در مورد چیستی PowerShell و بسیاری از کارهایی که می توانید با آن انجام دهید، توضیح دادیم.
از آنجایی که PowerShell دارای مجوزهای سیستم برای تغییر تنظیمات مهم در رایانه شما یا اجرای اسکریپت های حساس به سیستم است، عوامل بد راه هایی را برای اجرای کدهای مخرب پیدا می کنند. با این حال، قبل از اینکه به نحوه سوء استفاده از آن بپردازیم، شایان ذکر است که PowerShell خود یک برنامه مخرب نیست. این بخش اصلی ویندوز است که نمی توان آن را غیرفعال کرد.
چه چیزی پاورشل را بسیار خطرناک می کند؟
وقتی بازیگر بدی میخواهد از PowerShell استفاده کند، معمولاً از یکی از دو مسیر استفاده میکند: فریب دادن افراد برای اجرای کدهای مخرب در PowerShell یا ایجاد فایلی که هنگام باز کردن یک اسکریپت بد اجرا میکند.
عوامل مخرب افراد را متقاعد به اجرای دستورات می کنند
ابتدا، اجازه دهید زمانی که یک عامل مخرب شخصی را فریب می دهد تا دستور PowerShell را اجرا کند، توضیح دهیم. این ترفند معمولا شامل ترساندن قربانی به این باور است که برای رفع مشکلی که وجود ندارد، باید یک فرمان PowerShell را اجرا کند.
همانطور که توسط The Register گزارش شده است، یکی از این ترفندها شامل ورود بازیگران بد به وب سایت های قانونی و تغییر آنها برای نمایش یک پیام خطای جعلی است. این خطا ادعا می کند که مشکلی در نسخه ویندوز، گوگل کروم، آفیس یا OneDrive کاربر وجود دارد. برای رفع این “مشکل”، خطای جعلی ادعا می کند که کاربر باید دستور PowerShell را برای تعمیر مشکل اجرا کند.
البته کد داده شده چیزی را تعمیر نمی کند. در عوض، به PowerShell میگوید که به یک سرور متصل شود، یک فایل اجرایی مخرب را از یک سرور خارجی دانلود کرده و آن را اجرا کند. یکی از نمونههای این حمله از PowerShell برای دانلود یک dropper استفاده کرد که سپس پنج نوع بدافزار دیگر را روی رایانه شخصی مورد نظر دانلود کرد.
نوع دیگری از این حمله PowerShell “فعال شده توسط کاربر” در حال ارسال از طریق ایمیل مشاهده شد. این ایمیل حاوی یک فایل HTML بود که شبیه مایکروسافت ورد طراحی شده بود. وقتی باز شد، ادعا کرد که نمی تواند اطلاعات را در سند Word نمایش دهد زیرا یک برنامه افزودنی کار نمی کند. سپس از کاربر خواسته شد تا کدهای مخرب را در PowerShell کپی و جایگذاری کند تا آن را برطرف کند یا فایل بدی را دانلود کند که این کار را برای بازیگر بد انجام می دهد.
فایل های مخرب با استفاده از PowerShell برای اجرای بدافزار بدون فایل
نسخه ترسناک حمله PowerShell از بدافزار بدون فایل برای حمله به هدف استفاده می کند. این از PowerShell برای اجرای وظایف مخرب بدون بارگیری فایل ها در رایانه شخصی قربانی استفاده می کند. اگر بدافزار هیچ فایلی را دانلود نکند، از شناسایی آن توسط نرم افزار آنتی ویروس جلوگیری می کند و پیدا کردن و حذف آن را سخت می کند.
ما در مقاله خود در مورد بدافزاری که به دانلودکنندگان غیرقانونی فیلم حمله میکند، نسخهای از این حمله را پوشش دادیم. این روش حمله معمولاً یک فایل LNK را که حاوی یک اسکریپت مخرب است به عنوان یک فایل دیگر پنهان می کند. در مثال فیلم غیرقانونی، فایل LNK برای فریب دادن افراد به اجرای آن، به شکل یک فایل ویدئویی تغییر یافته است.
چگونه از حملات PowerShell جلوگیری کنیم
مشکل انجام اقدامات برای جلوگیری از حملات PowerShell این است که راه حل های قانونی وجود دارد که شما را ملزم به وارد کردن دستورات در PowerShell می کند. به این ترتیب، قبل از وارد کردن یک فرمان، ایده خوبی است که کمی زمان بگذارید و در نظر بگیرید که منبع چقدر قابل اعتماد است.
اگر به دنبال راه حلی هستید و یک وب سایت معتبر و معتبر پیدا کرده اید که بیان می کند باید از یک دستور استفاده کنید، پس اجرای آن خوب است. اگر از طریق یک پیام خطای جعلی که برای ترساندن شما طراحی شده است، به شما آسیب می رساند.
اگر فرمانی را می بینید و مطمئن نیستید که چه کاری انجام می دهد، سعی کنید آن را به صورت آنلاین جستجو کنید. اگر مفید است، باید نتایجی را پیدا کنید که افراد دیگری این فرمان را پیشنهاد می کنند. اگر چیزی پیدا نکردید (یا حتی کسی را پیدا کردید که آن را مخرب گزارش کرده است)، اجرای آن ایده خوبی نیست.
اگر به اشتباه حمله PowerShell را انجام دادید، می توانید بهترین برنامه های آنتی ویروس را برای بدافزار حذف کنید. با این حال، همانطور که قبلاً توضیح دادیم، حملات PowerShell تمام تلاش خود را میکنند تا خود را تا حد امکان غیرقابل شناسایی کنند. اگر بعد از اجرای فرمان PowerShell متوجه مشکلی شدید، بهترین گزینه این است که سیستم عامل خود را تمیز کنید تا مطمئن شوید که همه چیز پاک شده است.
PowerShell به خودی خود یک ابزار مفید است که به شما کنترل پیشرفته ای بر روی رایانه شخصی شما می دهد. با این حال، برخی از بازیگران بد سعی می کنند مردم را فریب دهند تا از آن سوء استفاده کنند. خوشبختانه، اگر عقل خود را در مورد خود حفظ کنید، می توانید از ضربه خوردن توسط یکی جلوگیری کنید.