PME et cybermenaces : comment répondre aux nouveaux défis avec Fortinet ?

Powershell, l’associé préféré des Hackers 

Windows PowerShell est un interpréteur de commandes et un langage script conçu pour les tâches d’administration du système. Les commandes PowerShell permettent de gérer des infrastructures Windows. 

PowerShell, la version 7 très attendue

PowerShell offre de nombreuses commandes qui facilitent les tâches d’administration du système. Il prend notamment en charge un large choix de tâches telles que l’administration d’Active Directory, la gestion des utilisateurs et des autorisations et l’extraction de données relatives aux configurations de sécurité. De plus, PowerShell est maintenant disponible sur Linux et sur macOS et Microsoft a annoncé la sortie prochainement de la version 7 de PowerShell. Cela s’explique par la popularité croissante de PowerShell notamment dû à la progression très rapide des lancements de PoweShell, en particulier dans les environnements Linux.

Avec la version 7, Microsoft à une ambition qui est de pousser au remplacement complet de Windows Powershell 5.1. L’objectif étant de permettre aux utilisateurs de Windows Powershell et Powershell Core d’utiliser la même version de Powershell pour tout automatiser entre Windows, Linux et macOS. Microssoft souhaite aussi garantir un haut niveau de comptabilité avec les modules Windows Powershell. La version 7 devrait pouvoir assurer une comptabilité de plus de 90% avec les modules Windows Powershell en s’appuyant sur Net Core 3.0.

Une aubaine pour les cyber-attaquants

D’après un rapport publié par Red Canary, Powershell serait utilisé par les cyber-délinquants. Les explications avancées par Red Canary sont que PowerShell est inclus par défaut dans chaque système d’exploitation depuis 2009. Son ubiquité a contribué à sa popularité parmi les adversaires. Ce logiciel très puissant donne possibilité de réaliser une multitude de tâches d’administration et d’automation avec un utilitaire qui est rarement contraint, il est aussi très peu blocable.

L’utilisation de Powershell par les attaquants est loin d’avoir reculé. Kaspersky a souligné que l’utilisation de ce framework était croissante, notamment lorsqu’il s’agit de réduire les capacités d’attribution des attaques. En décembre 2018, MacAfee faisait une progression de 24 % du nombre de nouveaux scripts Powershell malicieux au troisième trimestre. Symantect a relevé une tendance comparable en assurant que l’utilisation de scripts powershell malveillants a augmenté de 1000% l’année dernière. Même si Symantec bloque 115 000 scripts Powershell malveillants par mois, cela représente moins d’un pour cent de leur utilisation globale. De plus, les hackers à l’origine du rançongiciel LockerGoga semble également mettre à profit Powershell.