Mantente alerta, ya que un ciberatacante puede pillarte fácilmente desprevenido.
Desde su introducción inicial, los ciberdelincuentes (o hackers) han utilizado PowerShell con fines maliciosos. Sin embargo, en los últimos tiempos, el uso malicioso de la herramienta ha aumentado de forma constante.
Por lo tanto, es importante asegurarte de que te adhieres a las mejores prácticas establecidas que pueden ayudar a mantener esta herramienta de scripting en tu organización de forma segura.
En este artículo, explicaré cómo los ciberdelincuentes pueden utilizar maliciosamente esta herramienta de scripting para perjudicar a tu empresa, y qué puedes hacer para prevenir estos ataques.
Comencemos con la razón por la que PowerShell es una herramienta tan popular entre estos ciberdelincuentes.
¿Por qué les Gusta PowerShell a los Ciberdelincuentes?
Como se ha señalado anteriormente, PowerShell es una herramienta popular entre los atacantes. Pero, ¿por qué es así?
Bueno, para empezar, la herramienta está estrechamente integrada en el sistema operativo Windows. Esto significa que existe en casi todos los sistemas Windows que un atacante puede querer atacar. Microsoft también ha creado versiones multiplataforma de PowerShell que pueden funcionar en Linux y macOS.
Otra razón por la que los ciberdelincuentes adoran utilizar PowerShell es que es posible gestionar todos los componentes del sistema operativo Windows a través de él. Esto significa que existen cmdlets para interactuar con prácticamente cualquier parte del sistema operativo. Antes de esta herramienta, un atacante a menudo tenía que idear formas creativas de interactuar remotamente con varias partes de un sistema operativo.
Además, como PowerShell forma parte de Windows, es relativamente fácil para un atacante evadir la detección. A diferencia de un ataque de malware tradicional, el atacante no necesita necesariamente instalar un código malicioso en la máquina objetivo. Esto hace que sea mucho más difícil para el software de seguridad detectar un ataque basado en PowerShell.
Éstas son sólo un par de razones por las que a los ciberdelincuentes les encanta utilizar esta herramienta. Veamos ahora cómo se utiliza normalmente en un ataque.
Cómo se Utiliza Normalmente PowerShell en un Ataque
Los ciberdelincuentes pueden aprovechar fácilmente esta herramienta para su beneficio. Por ejemplo, como PowerShell admite la administración remota, un atacante puede utilizarlo para establecer una sesión remota con el ordenador de la víctima. Sin embargo, para llevar a cabo este tipo de ataque, el atacante debe tener un conjunto de credenciales utilizadas para iniciar sesión en el sistema de destino.
Otra forma en que los atacantes pueden utilizar la herramienta es simplemente creando scripts maliciosos. Un administrador desprevenido puede intentar descargar una herramienta basada en PowerShell de Internet, sólo para descubrir después de ejecutarla que el script ha hecho algo para dañar su sistema.
Además, los ciberdelincuentes también pueden utilizar la herramienta de scripting en un ataque de malware sin archivos. Esto es similar a un ataque de administración remota, excepto que el atacante utiliza la sesión remota para instruir al ordenador de la víctima para descargar e instalar software malicioso. Para complementar, puedes echar un vistazo a nuestro artículo Cómo los Scripts maliciosos de PowerShell evaden la Detección.
Sin embargo, más recientemente, los ciberdelincuentes han encontrado una nueva forma de utilizar PowerShell, a la que me referiré a continuación.
Uso Reciente de PowerShell con Fines Maliciosos
Aunque los ataques descritos anteriormente han constituido históricamente la mayor parte de los usos maliciosos de PowerShell, existen innumerables variaciones de esas técnicas. Más recientemente, los atacantes han ideado otra forma de utilizar la herramienta con fines maliciosos.
Un nuevo tipo de malware llamado ChromeLoader busca generar ingresos por publicidad para los ciberdelincuentes manipulando el navegador de la víctima. Aunque la manipulación del navegador no es nada nuevo, este método utilizado por ChromeLoader es único.
Al igual que otros tipos de malware, el ataque comienza con la descarga por parte de la víctima de un archivo malicioso (normalmente un archivo ISO que se hace pasar por software pirata). Cuando la víctima intenta instalar el software contenido en este archivo ISO, el instalador ordena a PowerShell que instale el complemento del navegador ChromeLoader. Un trabajo encubierto del Programador de Tareas de Windows puede comprobar periódicamente si se ha eliminado ChromeLoader y lo reinstalará si es necesario.
En este caso concreto, PowerShell no se utiliza como punto de entrada, sino que se emplea para descargar e instalar silenciosamente el complemento del navegador. Esto significa que los atacantes no tienen que preocuparse de engañarte para que instales un plugin no deseado.
Aunque los ciberdelincuentes han encontrado una variedad de formas creativas de utilizar la herramienta con fines nefastos, hay varias cosas que puede hacer para mantener su sistema a salvo. Vamos a verlas ahora.
Qué Puedes hacer para Prevenir un Ataque Basado en PowerShell
Hay varias prácticas recomendadas de seguridad que puede utilizar para reducir las posibilidades de un ataque basado en PowerShell. En esta sección, repasaré 5 de ellas. Dicho esto, empecemos con las cosas que puedes hacer para prevenir un ataque de este tipo.
1. Asegúrate de mantener PowerShell actualizado
Microsoft añade nuevas características y capacidades a cada nueva versión. Por ello, una de las cosas más importantes que puedes hacer es mantenerte al día con la última versión de PowerShell. Para saber qué versión está utilizando, simplemente abra PowerShell e introduzca el comando Host.
Puedes utilizar el comando Host para encontrar tu versión de PowerShell.
host
Cabe destacar que la versión que se obtiene con Windows no es la más reciente. Puedes descargar la última versión de PowerShell aquí.
2. Habilitar el registro de PowerShell
Otra de las mejores prácticas para mantener la seguridad de PowerShell es habilitar el registro. Puedes hacerlo de varias maneras, pero uno de los métodos más efectivos es la transcripción. Habilita la transcripción a través del cmdlet Start-Transcript.
Puedes registrar el uso de PowerShell introduciendo el cmdlet Start-Transcript.
Start-Transcript
3. Utilizar Just Enough Administration (JEA)
Just Enough Administration es una característica de seguridad de Windows Server que garantiza que los administradores tengan sólo los permisos que necesitan para completar la tarea en cuestión. La implementación de la administración justa puede hacer que sea mucho más difícil para un atacante causar estragos en tu entorno utilizando un script de PowerShell.
4. Ejecutar un software antimalware
Aunque los ataques basados en PowerShell difieren de los ataques tradicionales basados en malware, sigue siendo muy importante ejecutar un software antimalware en todos los puntos finales de la red. Por un lado, la herramienta no elimina las posibilidades de un ataque de malware normal, por lo que es necesario un software antimalware. Sin embargo, algunos ataques pueden imitar al malware y pueden ser detectados por las capacidades heurísticas de un software antimalware.
5. Practica los principios de la confianza cero
La idea detrás de la confianza cero es que nadie debe tener acceso a nada que no sea absolutamente necesario para hacer su trabajo. Además, hay que verificar tanto la identidad del usuario como la del dispositivo cada vez que se accede a los recursos. Poner en práctica los principios de la confianza cero puede reducir las posibilidades de que un ataque tenga éxito.
Y ahí lo tienes, esas son las 5 mejores prácticas que puedes implementar en tu organización para reducir la probabilidad de ser víctima de un ataque basado en PowerShell. Recapitulemos.
En Resumen
PowerShell es una potente herramienta de gestión multiplataforma con una profunda integración en el sistema operativo. Esto la hace atractiva para los ciberdelincuentes. La mejor manera de protegerse contra el uso malintencionado es adherirse a todas las mejores prácticas estándar para la seguridad de Windows.
Una de las cosas que debes hacer es mantener continuamente actualizado PowerShell con la última versión. También puedes habilitar el registro y ejecutar software antimalware para reducir las posibilidades de ser víctima de un ataque dirigido. Además, puedes utilizar la función Just Enough Administration e implementar los principios de confianza cero en tu organización. Todas estas buenas prácticas son muy recomendables, así que empieza a aplicarlas cuanto antes.