雑記 > 無料ウイルス対策 > PowerShell

PR 国内メーカー東芝の直販 − 4万円台からノートPC安い!

PowerShell悪用のウイルス感染手口と無料対策 メール添付ファイルが危険

Windows 7/8/10 に標準で実装されてるスクリプト実行環境 Windows PowerShell をうまく悪用して Windows パソコンにマルウェアを効率よく感染させる手口が確認されてます。 (´o`;<標的型攻撃のみならず一般ユーザー向けに無差別な攻撃でも

パワーシェルPowerShell is an automation platform and scripting language for Windows and Windows Server that allows you to simplify the management of your systems. Unlike other text-based shells, PowerShell harnesses the power of the .NET Framework, providing rich objects and a massive set of built-in functionality for taking control of your Windows environments.
https://docs.microsoft.com/ja-jp/powershell/

PowerShell パワーシェル とは?
PowerShell は Windows と Windows Server 向けの自動化環境やスクリプト言語で、システムの管理を簡素化できます。他のテキストベースの Shell と異なり、PowerShell は .NET Framework の機能を活用して豊富なオブジェクトと Windows 環境を制御する多数の組み込み機能を提供します。

PowerShell 悪用ウイルスの手口と事例

PowerShell を悪用する攻撃事例は、世界中のWindowsユーザーを狙って ランサムウェア(身代金ウイルス) を感染させる場面のほか、明確に日本国内のユーザーのみを狙って ネットバンキングウイルス を感染させる攻撃キャペーンでも確認されてます。

ウイルスファイルの形式

この攻撃の入り口は 迷惑メールの添付ファイル、本文中のリンクからのダウンロード で入手した次の不正なファイルで、これをWindowsユーザーにダブルクリックして開いてもらう古典的な方法です。

PowerShell悪用のファイル形式
スクリプトファイル
拡張子 .js .jse .vbs .wsf
powershell.exe
Officeファイル+マクロ
拡張子 .doc .docm .xls .xlsm
Officeファイル+DDE
拡張子 .doc .xls
ショートカット
拡張子 (.lnk
HTMLアプリケーション
拡張子 .hta
ヘルプファイル
拡張子 .chm

これらの不正なファイルは セキュリティソフト のウイルス定義データで脅威と判定されるまでスリ抜ける傾向もけっこう高い形式であり、 ”怪しい” と見抜く知識のない多くのユーザーさんが躊躇なく踏み抜くのが常です。

PowerShell の悪用に気づけない

この時、ユーザーの目に見えない裏側で powershell.exe がシレッと動作するだけで、PowerShell のコマンドが記述されたスクリプトファイル(拡張子 .ps1) を開く場面は存在しません。

ウィンドウ画面が表示されることもなく PowerShell の悪用に気づけないファイルレスなマルウェア攻撃となります。 (´o`)ノ

Windows PowerShellパワーシェルの悪用でファイルレスマルウェア、ファイルレスウイルス、ファイルレス攻撃を実現!
黒い画面コマンドプロンプトの次世代版 Windows PowerShell

ファイアウォールでウイルス対策

この攻撃を効果的に防ぎ感染失敗させるには 『怪しいメールを開くな!』 『不審なファイルを開くな!』 といった精神論ではなく セキュリティソフトに実装されてるファイアウォール無料Windowsファイアウォール を大いに活躍してもらいます。 (*´∀`)b

PowerShell悪用でネットバンキング不正送金ウイルスやランサムウェア身代金要求ウイルスの被害 無料Malware Windows Firewall感染防止
セキュリティが強化された Windows ファイアウォール で powershell.exe をブロック

PowerShell の実行ファイル powershell.exe外部ネットワークからウイルス本体データをダウンロードする役目 を担うので、ファイアウォールのアウトバウンド(送信側)で powershell.exe の通信をあらかじめブロックするよう設定するだけで完了です。 (^o^)b<手っ取り早く実現できるウイルス対策♪

  1. ウイルスメール対策にファイルの拡張子を表示する
  2. スクリプトウイルスの感染を防ぐ無料対策 … 拡張子 .js .jse .vbs .wsf
  3. マクロウイルスの感染を防ぐ無料対策 … 拡張子 .doc .docm .xls .xlsm
  4. ランサムウェア対策に効果的なファイアウォール設定

動作確認用コード

Windows の コマンドプロンプト を起動して、次のパラメータをコピペしエンターキーを押します。

処理内容は例示で使われる安全なサンプルドメイン example.com に接続してHTMLファイルをダウンロードし、その内容を Windows のデスクトップにテキストファイル 「powershell-download-test.txt」 という名前で保存します。 (^w^)b<危険な処理なし

cmd /c powershell(new-object System.Net.Webclient).DownloadFile('http://example.com/','%USERPROFILE%\Desktop\powershell-download-test.txt')

ファイアウォールで通信をブロックしておらず開放された状態だと確認場面なくテキストファイルがシレッと作成されるはずで、正常にブロックできてると 『リモート サーバーに接続できません』 エラーになります。

ファイアウォールでPowerShell悪用ウイルス手口にマルウェア感染対策 ファイルのダウンロード動作確認サンプル
powershell.exe の通信が正常にブロックされてる場合のエラー

PR 《Yahoo!ショッピング特集》 Tポイントが抽選で当たる無料ポイントくじも!

キーワードφ(..)メモメモ
[PowerShell ウイルス 対策] [PowerShell マルウェア] [PowerShell ウイルス 実例] [ファイアウォール ウイルス 設定] [PowerShell 危険性] [PowerShell 拡張子] [無料 ランサムウェア 対策] [ウイルスメール 対策] [メール 添付ファイル 対策] [wsf 拡張子 ウイルス] [js 拡張子 ウイルス] [ショートカット ウイルス 手口] [doc 拡張子 ウイルス] [docx 拡張子 ウイルス] [標的型攻撃 ウイルスメール] [ファイルレス 感染] [パワーシェル マルウェア] [PS ウイルス] [ファイルレスマルウェア 手口] [ファイルレス攻撃 対策] [DDE ウイルス] [Dynamic Data Exchange 悪用] [X2KM_POWMET ウイルス] [W2KM_POWLOAD ウイルス] [JS_POWMET ウイルス] …

オンラインスキャン | 動画脅迫詐欺 | ネット通販詐欺 | サポート詐欺 | ランサムウェア対策 | 迷惑ソフト一覧

雑記 > 無料ウイルス対策 > PowerShell


Copyright © Let's Emu!. All rights reserved.