雑記 > 無料ウイルス対策 > PowerShell

PR 国内メーカー東芝の直販 − 4万円台からノートPC安い!

PowerShell悪用ウイルスの感染手口と無料対策 メール添付ファイルが危険

Windows 7、Windows 8、Windows 10 に標準で実装されてるスクリプト実行環境 Windows PowerShell をうまく悪用して Windows パソコンに効率よくマルウェアを感染させる手口が確認されてます。

パワーシェルPowerShell is an automation platform and scripting language for Windows and Windows Server that allows you to simplify the management of your systems. Unlike other text-based shells, PowerShell harnesses the power of the .NET Framework, providing rich objects and a massive set of built-in functionality for taking control of your Windows environments.
https://docs.microsoft.com/ja-jp/powershell/

PowerShell パワーシェル とは?
PowerShell は Windows と Windows Server 向けの自動化環境やスクリプト言語で、システムの管理を簡素化できます。他のテキストベースの Shell と異なり、PowerShell は .NET Framework の機能を活用して豊富なオブジェクトと Windows 環境を制御する多数の組み込み機能を提供します。

PowerShell 悪用ウイルスの事例と手口

PowerShell の悪用は、世界中のWindowsユーザーを無差別に狙って ランサムウェア(身代金ウイルス) を感染させる場面のほか、明確に日本国内のWindowsユーザーを狙って ネットバンキングウイルス を感染させるキャペーンでも確認されてます。

この攻撃の入り口は、一般ユーザーにもバラ撒かれてる 迷惑メール(スパムメール)の受信 から始まるので、決して ”対岸の火事” ではないです。 (´ω`)<特定の組織が狙われる標的型攻撃だけのお話ではない

ウイルスファイルの形式

メールの添付ファイル、あるいはメール本文のリンクからダウンロードする不正なファイルは次の通りです。

PowerShell悪用のファイル形式
スクリプトファイル
拡張子 .js .jse .vbs .wsf
powershell.exe
Officeファイル +マクロ
拡張子 .doc .docm .xls .xlsm
ショートカット
拡張子 なし (.lnk
Officeファイル +DDE
拡張子 .doc .docx
HTMLアプリケーション
拡張子 .hta

これをダブルクリックして開いてもらう古典的な手口だけど、セキュリティソフト のウイルス定義データで脅威と判定されるまでスリ抜ける傾向が高い形式であり、”怪しい” と見抜く知識のないWindowsユーザーさんが躊躇なく踏み抜く危険性があります。

PowerShell 悪用に気づけない!? ファイルレス攻撃

なお、PowerShell のコマンドが記述されたスクリプトファイル(拡張子 .ps1) をユーザーが開く場面は存在しません。

Windows PowerShellパワーシェルの悪用でファイルレスマルウェア、ファイルレスウイルス、ファイルレス攻撃を実現!
黒い画面コマンドプロンプトの次世代版 Windows PowerShell

上で挙げた不正なファイルを開いた直後に PowerShell の実行ファイル powershell.exe がユーザーの目に見えない裏側でシレッと動き、PowerShell スクリプトがメモリ上で処理されるので、PowerShell が悪用されてる事実に通常は気づけません。 (TдT)<「ファイルレスマルウェア」「ファイルレス攻撃」 と呼ぶことも

DDE を悪用する不正なWordファイル

2017年10月、VBAマクロ とは関係ない Dynamic Data Exchange(動的データ交換、DDE) という機能を悪用して任意のコードを実行し、ランサムウェアやネットバンキングウイルスを感染させる手口が確認されました。

メールに添付されてる不正なWordファイル(拡張子 .doc/.docx)をWindowsパソコン上で開くと、次の2つの確認ダイアログが表示されて [はい(Y)] ボタンを押した場合に限って攻撃を喰らいます。

DDE を悪用する攻撃を防ぐ無料ウイルス対策として、Microsoft Word のオプション → 左メニューの [詳細設定] → 「全般」 の [文書を開いたときにリンクを自動的に更新する(U)] のチェックマークを 外す ことをオススメします。 (・ω・)<ファイルのダウンロード処理に powershell.exe の悪用もある

PowerShell悪用ウイルスにファイアウォール

PowerShell を使ったウイルス感染攻撃を効果的に防ぐため 『不審なファイルを開かない』 といった精神論ではなく セキュリティソフトに実装されてるファイアウォール無料Windowsファイアウォール の出番です。 (*´∀`)b<追加の投資は不要

PowerShell悪用でネットバンキング不正送金ウイルスやランサムウェア身代金要求ウイルスの被害 無料Malware Windows Firewall感染防止
セキュリティが強化された Windows ファイアウォール で powershell.exe をブロック

PowerShell の悪用は 外部ネットワークからウイルス本体データをダウンロードする役目 を担うことが多いので、ファイアウォールの送信側(アウトバウンド)で powershell.exe の通信をあらかじめブロックするよう設定してください。 (^o^)b<手っ取り早くできて強力な効果も期待できるウイルス対策♪

  1. ウイルスメール対策にファイルの拡張子を表示する
  2. スクリプトウイルスの感染を防ぐ無料対策 … 拡張子 .js .jse .vbs .wsf
  3. マクロウイルスの感染を防ぐ無料対策 … 拡張子 .doc .docm .xls .xlsm
  4. ランサムウェア対策に効果的なファイアウォール設定 ←解説

なお、Windows Update を実施しても PowerShell の悪用攻撃は防げません。

動作検証用コード

Windows の コマンドプロンプト を起動して、次のパラメータをコピペしエンターキーを押します。

処理内容は、例示で使われる安全なサンプルドメイン example.com に接続してHTMLファイルをダウンロードし、その内容を Windows のデスクトップにテキストファイル 「powershell-download-test.txt」 という名前で保存します。 (^w^)b<危険な処理なし

cmd /c powershell(new-object System.Net.Webclient).DownloadFile('http://example.com/','%USERPROFILE%\Desktop\powershell-download-test.txt')

ファイアウォールで powershell.exe の通信をブロックしておらず悪用できる状態だとテキストファイルがシレッと作成される一方、正常にブロックできてるなら 『リモート サーバーに接続できません』 というエラーになります。

ファイアウォールでPowerShell悪用ウイルス手口にマルウェア感染対策 ファイルのダウンロード動作確認サンプル
powershell.exe の通信が正常にブロックされてる場合のエラー

PR 《Yahoo!ショッピング特集》 Tポイントが抽選で当たる無料ポイントくじも!

キーワードφ(..)メモメモ
[PowerShell ウイルス 対策] [PowerShell マルウェア] [PowerShell ウイルス 実例] [ファイアウォール ウイルス 設定] [PowerShell 危険性] [PowerShell 拡張子] [無料 ランサムウェア 対策] [ウイルスメール 対策] [メール 添付ファイル 対策] [wsf 拡張子 ウイルス] [js 拡張子 ウイルス] [ショートカット ウイルス 手口] [doc 拡張子 ウイルス] [docx 拡張子 ウイルス] [標的型攻撃 ウイルスメール] [ファイルレス 感染] [パワーシェル マルウェア] [PS ウイルス] [ファイルレスマルウェア 手口] [ファイルレス攻撃 対策] [DDE ウイルス] [Dynamic Data Exchange 悪用] [X2KM_POWMET ウイルス] [W2KM_POWLOAD ウイルス] [PowerShell/TrojanDownloader.Agent ウイルス] [JS_POWMET ウイルス] …

オンラインスキャン | 動画脅迫詐欺 | ネット通販詐欺 | サポート詐欺 | ランサムウェア対策 | 迷惑ソフト一覧

雑記 > 無料ウイルス対策 > PowerShell


Copyright © Let's Emu!. All rights reserved.