雑記 > 無料ウイルス対策 > PowerShell

PR 国内メーカー東芝の直販 − 4万円台からノートPC安い!

PowerShell悪用のウイルス感染手口と無料対策 メール添付ファイルが危険

Windows 7/8/10 に標準で実装されてるスクリプト実行環境 Windows PowerShell をうまく悪用してWindowsパソコンにマルウェアを効率よく感染させる手口が確認されてます。 (´o`;<標的型攻撃のみならず一般ユーザー向けの攻撃でも

パワーシェルPowerShell is an automation platform and scripting language for Windows and Windows Server that allows you to simplify the management of your systems. Unlike other text-based shells, PowerShell harnesses the power of the .NET Framework, providing rich objects and a massive set of built-in functionality for taking control of your Windows environments.
https://msdn.microsoft.com/en-us/powershell

PowerShell パワーシェル とは?
PowerShell は Windows と Windows Server 向けの自動化環境やスクリプト言語で、システムの管理を簡素化できます。他のテキストベースの Shell と異なり、PowerShell は .NET Framework の機能を活用して豊富なオブジェクトと Windows 環境を制御する多数の組み込み機能を提供します。

PowerShell 悪用ウイルスの手口と事例

PowerShell を悪用する攻撃事例は、世界中のWindowsユーザーを無差別に狙って ランサムウェア(身代金ウイルス) を感染させる場面のほか、明確に日本国内のユーザーのみを狙って ネットバンキングウイルス を感染させる攻撃キャペーンでも確認されてます。

ウイルスファイルの形式

この攻撃の入り口は 迷惑メールの添付ファイル として受け取った不正なファイルで、これをWindowsユーザーにダブルクリックして開いてもらう古典的な方法です。

PowerShell悪用のファイル形式
スクリプトファイル
拡張子 .js .jse .vbs .wsf
powershell.exe
Officeファイル+マクロ
拡張子 .doc .docm .xls .xlsm
ショートカット
拡張子 (.lnk
HTMLアプリケーション
拡張子 .hta
ヘルプファイル
拡張子 .chm

ただ、これらのファイルは セキュリティソフト のウイルス定義データで脅威と判定されるまではスリ抜ける傾向も高い形式であり ”怪しい” と見抜けないユーザーさんが躊躇なく踏み抜きます。

PowerShell の悪用に気づけない

この時、ユーザーの目に見えない裏側で powershell.exe がシレッと動作するだけで、PowerShell のコマンドが記述されたスクリプトファイル(拡張子 .ps1) を開く場面は存在しません。

ウィンドウ画面が表示されることもなく PowerShell の悪用に気づけないファイルレスなマルウェア攻撃となります。 (´o`)ノ

Windows PowerShellパワーシェル悪用! ウイルス感染攻撃手口と被害防止回避する無料セキュリティ対策をファイアウォールで
黒い画面コマンドプロンプトの次世代版 Windows PowerShell

ファイアウォールでウイルス対策

この攻撃を効果的に防ぎ感染失敗させるには 『怪しいメールを開くな!』 『不審なファイルを開くな!』 といった精神論ではなく セキュリティソフトに実装されてるファイアウォール無料Windowsファイアウォール を大いに活躍してもらいます。 (*´∀`)b

PowerShell悪用でネットバンキング不正送金ウイルスやランサムウェア身代金要求ウイルスの被害 無料Malware Windows Firewall感染防止
セキュリティが強化された Windows ファイアウォール で powershell.exe をブロック

PowerShell の実行ファイル powershell.exe外部ネットワークからウイルス本体データをダウンロードする役目 を担うので、ファイアウォールのアウトバウンド(送信側)で powershell.exe の通信をあらかじめブロックするよう設定するだけで完了です。 (^o^)b<手っ取り早く実現できるウイルス対策♪

  1. ウイルスメール対策にファイルの拡張子を表示する
  2. スクリプトウイルスの感染を防ぐ無料対策 … 拡張子 .js .jse .vbs .wsf
  3. マクロウイルスの感染を防ぐ無料対策 … 拡張子 .doc .docm .xls .xlsm
  4. ランサムウェア対策に効果的なファイアウォール設定

動作確認用コード

Windows の コマンドプロンプト を起動して、次のパラメータをコピペしエンターキーを押します。

処理内容は例示で使われる安全なサンプルドメイン example.com に接続してHTMLファイルをダウンロードし、その内容を Windows のデスクトップにテキストファイル 「powershell-download-test.txt」 という名前で保存します。 (^w^)b<危険な処理なし

cmd /c powershell(new-object System.Net.Webclient).DownloadFile('http://example.com/','%USERPROFILE%\Desktop\powershell-download-test.txt')

ファイアウォールで通信をブロックしておらず開放された状態だと確認場面なくテキストファイルがシレッと作成されるはずで、正常にブロックできてると 『リモート サーバーに接続できません』 エラーになります。

ファイアウォールでPowerShell悪用ウイルス手口にマルウェア感染対策 ファイルのダウンロード動作確認サンプル
powershell.exe の通信が正常にブロックされてる場合のエラー

PR 《Yahoo!ショッピング特集》 Tポイントが抽選で当たる無料ポイントくじも!

キーワードφ(..)メモメモ
[PowerShell ウイルス 対策] [PowerShell マルウェア] [PowerShell ウイルス 実例] [ファイアウォール ウイルス 設定] [PowerShell 危険性] [PowerShell 拡張子] [無料 ランサムウェア 対策] [ウイルスメール 対策] [メール 添付ファイル 対策] [wsf 拡張子 ウイルス] [js 拡張子 ウイルス] [ショートカット ウイルス 手口] [doc 拡張子 ウイルス] [docx 拡張子 ウイルス] [標的型攻撃 ウイルスメール] [ファイルレス 感染] [パワーシェル マルウェア] [PS ウイルス] [ファイルレスマルウェア 手口] [ファイルレス攻撃 対策] [X2KM_POWMET ウイルス] [JS_POWMET ウイルス] …

オンラインスキャン | 動画脅迫詐欺 | ネット通販詐欺 | サポート詐欺 | ランサムウェア対策 | 迷惑ソフト一覧

雑記 > 無料ウイルス対策 > PowerShell


Copyright © Let's Emu!. All rights reserved.