Windows PowerShell có thể cho phép virus xâm nhập mà không bị phát hiện

Bất cứ khi nào một công cụ Windows có quyền truy cập nâng cao vào máy tính, sẽ có người truy đuổi ráo riết, cố gắng tìm cách khai thác nó để chạy phần mềm độc hại trên hệ thống của những người dùng khác. PowerShell cũng không ngoại lệ và những kẻ xấu đã tìm ra cách sử dụng nó gây hỗn loạn trên máy tính của mọi người.

Nhưng PowerShell là gì và làm thế nào để có thể lạm dụng nó?

PowerShell trên Windows là gì?

Windows PowerShell là một công cụ tự động hóa và cấu hình nâng cao. Bạn có thể sử dụng nó để thực thi các lệnh điều chỉnh hệ thống của mình hoặc chạy các script tự động thực hiện các tác vụ phức tạp cho bạn.

Vì PowerShell có quyền hệ thống để thay đổi các cài đặt quan trọng trên PC hoặc chạy các script nhạy cảm với hệ thống, nên những kẻ xấu sẽ tìm cách để nó thực thi mã độc. Tuy nhiên, trước khi đi sâu vào cách có thể lạm dụng nó, cần lưu ý rằng bản thân PowerShell không phải là một ứng dụng độc hại. Nó là một phần cốt lõi của Windows không thể bị vô hiệu hóa.

Điều gì khiến PowerShell trở nên nguy hiểm như vậy?

Khi một tác nhân xấu muốn lợi dụng PowerShell, chúng thường sử dụng một trong hai cách sau: Lừa mọi người thực thi mã độc trong PowerShell hoặc tạo file chạy script độc hại khi mở.

Các tác nhân độc hại thuyết phục mọi người chạy lệnh

Đầu tiên, chúng ta hãy tìm hiểu khi một tác nhân độc hại lừa ai đó chạy lệnh PowerShell. Thủ thuật này thường liên quan đến việc dọa nạn nhân tin rằng họ cần chạy lệnh PowerShell để khắc phục sự cố không tồn tại.

Theo The Register đưa tin, một trong những thủ thuật như vậy liên quan đến việc các tác nhân xấu xâm nhập vào những trang web hợp pháp và thay đổi chúng để hiển thị thông báo lỗi giả. Lỗi này cho biết có điều gì đó không ổn với bản sao Windows, Google Chrome, Office hoặc OneDrive của người dùng. Để khắc phục "sự cố" này, lỗi giả mạo cho biết người dùng nên chạy lệnh PowerShell để khắc phục sự cố.

Tất nhiên, code được cung cấp không sửa chữa bất cứ thứ gì. Thay vào đó, nó yêu cầu PowerShell kết nối với máy chủ, tải xuống file thực thi độc hại từ máy chủ bên ngoài và chạy file đó. Một trường hợp tấn công này sử dụng PowerShell để tải xuống một dropper, sau đó tải 5 chủng phần mềm độc hại khác vào PC mục tiêu.

Một biến thể khác của cuộc tấn công PowerShell "do người dùng kích hoạt" này đã bị phát hiện khi được gửi qua email. Email bao gồm một file HTML được thiết kế trông giống như Microsoft Word. Khi mở ra, nó tuyên bố rằng nó không thể hiển thị thông tin trong tài liệu Word vì một tiện ích mở rộng đã ngừng hoạt động. Sau đó, người dùng được yêu cầu sao chép-dán mã độc vào PowerShell để sửa lỗi hoặc tải xuống một file xấu thực hiện công việc cho kẻ xấu.

File độc hại sử dụng PowerShell để chạy fileless malware

Phiên bản đáng sợ hơn của cuộc tấn công PowerShell sử dụng fileless malware để tấn công mục tiêu. Điều này sử dụng PowerShell để thực hiện các tác vụ độc hại mà không cần tải xuống file trên PC của nạn nhân. Nếu phần mềm độc hại không tải xuống bất kỳ file nào, nó sẽ ngăn phần mềm diệt virus phát hiện, khiến việc tìm và xóa phần mềm độc hại trở nên khó khăn.

Phương pháp tấn công này thường ngụy trang file LNK chứa script độc hại thành một file khác. Trong ví dụ về phim bất hợp pháp, file LNK đã được sửa đổi để trông giống như file video để đánh lừa mọi người chạy nó.

Cách tránh các cuộc tấn công PowerShell

Vấn đề với việc thực hiện các bước để tránh các cuộc tấn công PowerShell là có những bản sửa lỗi hợp pháp yêu cầu bạn nhập lệnh vào PowerShell. Do đó, trước khi nhập lệnh, bạn nên dành thời gian và cân nhắc xem nguồn đáng tin cậy đến mức nào.

Nếu bạn đang tìm kiếm bản sửa lỗi và tìm thấy một trang web đáng tin cậy và có uy tín nêu rằng bạn nên sử dụng lệnh, thì bạn có thể thực thi lệnh đó. Nếu lệnh đó đến với bạn từ một thông báo lỗi giả mạo được thiết kế để khiến bạn hoảng sợ, thì nó sẽ gây ra thiệt hại.

Nếu bạn thấy một lệnh và không chắc lệnh đó có tác dụng gì, hãy thử tìm kiếm lệnh đó trực tuyến. Nếu lệnh đó hữu ích, bạn sẽ thấy kết quả từ những người khác đề xuất lệnh đó. Nếu bạn không tìm thấy bất kỳ thứ gì (hoặc thậm chí thấy ai đó báo cáo lệnh đó là độc hại), thì việc chạy lệnh đó không phải là một ý kiến ​​hay.

Nếu vô tình rơi vào một cuộc tấn công PowerShell, bạn có thể thử tìm kiếm các chương trình diệt virus tốt nhất để tiêu diệt phần mềm độc hại. Tuy nhiên, như bài viết đã đề cập trước đó, các cuộc tấn công PowerShell sẽ cố gắng hết sức để không bị phát hiện. Nếu bạn nhận thấy có điều gì đó bất thường sau khi chạy lệnh PowerShell, cách tốt nhất là cài đặt lại hệ điều hành để đảm bảo mọi thứ đã bị xóa.

PowerShell là một công cụ tiện dụng giúp bạn kiểm soát nâng cao PC của mình. Tuy nhiên, một số kẻ xấu cố gắng lừa mọi người sử dụng sai mục đích. May mắn thay, nếu giữ được sự tỉnh táo, bạn có thể tránh bị tấn công.