MOBITEKNO – Peringatan ini disampaikan oleh Symantec menjelang tutup tahun 2016. Platform PowerShell yang merupakan pengganti fitur Command Prompt pada sistem operasi Windows ternyata banyak yang memanfaatkan untuk menyebarkan malware. Symantec sendiri telah menganalisis 111 ancaman yang menggunakan PowerShell dan menemukan fakta bahwa mereka memanfaatkan framework tersebut untuk men-download payloads dan menyusup melalui jaringan.
Microsoft PowerShell merupakan bahasa scripting yang kuat dan shell framework yang umumnya digunakan pada komputer dengan OS Windows. Microsoft PowerShell telah digunakan selama lebih dari 10 tahun.
Banyak serangan yang ditargetkan baru-baru menggunakan script PowerShell. Contohnya, kelompok Odinaff menggunakan script PowerShell berbahaya ketika menyerang institusi-institusi keuangan. Penjahat siber umum juga memanfaatkan PowerShell, seperti peretas di balik serangan Trojan.Kotver yang menggunakan bahasa scripting untuk menciptakan infeksi fileless yang tersembunyi dalam registrasi.
PowerShell dipasang standar pada sebagian besar komputer berbasis Windows, dan sebagian besar perusahaan tidak mengaktifkan logging lebih luas untuk kerangka tersebut. Dua faktor ini menjadikan PowerShell alat serangan yang disukai. Lebih lanjut, script dapat dengan mudah disamarkan dan memungkinkan untuk payload untuk dieksekusi secara langsung dari memori. Saat ini, keluarga malware yang sering menggunakan powerShell diantaranya adalah W97M.Downloader (9,4 persen dari semua contoh yang dianalisis), Trojan.Kotver (4,5 persen), dan JS.Downloader (4,0 persen).
Selama 6 bulan terakhir, Symantec bahkan telah memblokir rata-rata 446.028 email dengan JavaScript berbahaya per hari, dan tren ini terus meningkat. Symantec memperkirakan ancaman PowerShell akan muncul lebih banyak di masa mendatang. Kami sangat merekomendasikan administrator sistem untuk memperbarui versi PowerShell terbaru dan mengaktifkan logging yang lebih besar dan kemampuan pemantauan.
Tags: Ancaman Internet, Cyber Attack, PowerShell, Symantec