خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

این ابزار ویندوز می‌تواند ویروس‌ها را بدون شناسایی راه‌اندازی کند

ارشیا یوسفی ادیب ۳ مهر, ۱۴۰۳ 5 دقیقه زمان مطالعه

هر زمان که ابزار ویندوز دسترسی پیشرفته ای به رایانه داشته باشد، شخصی به شدت در تعقیب است و سعی می کند راه هایی را برای سوء استفاده از آن برای اجرای بدافزار در سیستم های افراد بیابد. PowerShell نیز از این قاعده مستثنی نیست و بازیگران بد راه هایی برای استفاده از آن برای ایجاد هرج و مرج در رایانه افراد پیدا کرده اند.

خلاصه عناوین

  • PowerShell در ویندوز چیست؟
  • چه چیزی پاورشل را بسیار خطرناک می کند؟
  • چگونه از حملات PowerShell جلوگیری کنیم

هر زمان که ابزار ویندوز دسترسی پیشرفته ای به رایانه داشته باشد، شخصی به شدت در تعقیب است و سعی می کند راه هایی را برای سوء استفاده از آن برای اجرای بدافزار در سیستم های افراد بیابد. PowerShell نیز از این قاعده مستثنی نیست و بازیگران بد راه هایی برای استفاده از آن برای ایجاد هرج و مرج در رایانه افراد پیدا کرده اند.

اما PowerShell چیست و چگونه می توان از آن سوء استفاده کرد؟

PowerShell در ویندوز چیست؟

یک نماد خط فرمان که روی پس‌زمینه‌ای تار از نمادهای سبز قرار گرفته است

Windows PowerShell یک ابزار اتوماسیون و پیکربندی پیشرفته است. می توانید از آن برای اجرای دستوراتی استفاده کنید که سیستم شما را تغییر می دهند یا اسکریپت هایی را اجرا کنید که به طور خودکار وظایف پیچیده را برای شما اجرا می کنند. ما این ابزار را در راهنمای خود در مورد چیستی PowerShell و بسیاری از کارهایی که می توانید با آن انجام دهید، توضیح دادیم.

از آنجایی که PowerShell دارای مجوزهای سیستم برای تغییر تنظیمات مهم در رایانه شما یا اجرای اسکریپت های حساس به سیستم است، عوامل بد راه هایی را برای اجرای کدهای مخرب پیدا می کنند. با این حال، قبل از اینکه به نحوه سوء استفاده از آن بپردازیم، شایان ذکر است که PowerShell خود یک برنامه مخرب نیست. این بخش اصلی ویندوز است که نمی توان آن را غیرفعال کرد.

مطلب مرتبط:   اگر اترنت همچنان در ویندوز 10 و 11 قطع شود، چه باید کرد؟

چه چیزی پاورشل را بسیار خطرناک می کند؟

نمونه ای از کد Peaklight

وقتی بازیگر بدی می‌خواهد از PowerShell استفاده کند، معمولاً از یکی از دو مسیر استفاده می‌کند: فریب دادن افراد برای اجرای کدهای مخرب در PowerShell یا ایجاد فایلی که هنگام باز کردن یک اسکریپت بد اجرا می‌کند.

عوامل مخرب افراد را متقاعد به اجرای دستورات می کنند

ابتدا، اجازه دهید زمانی که یک عامل مخرب شخصی را فریب می دهد تا دستور PowerShell را اجرا کند، توضیح دهیم. این ترفند معمولا شامل ترساندن قربانی به این باور است که برای رفع مشکلی که وجود ندارد، باید یک فرمان PowerShell را اجرا کند.

همانطور که توسط The Register گزارش شده است، یکی از این ترفندها شامل ورود بازیگران بد به وب سایت های قانونی و تغییر آنها برای نمایش یک پیام خطای جعلی است. این خطا ادعا می کند که مشکلی در نسخه ویندوز، گوگل کروم، آفیس یا OneDrive کاربر وجود دارد. برای رفع این “مشکل”، خطای جعلی ادعا می کند که کاربر باید دستور PowerShell را برای تعمیر مشکل اجرا کند.

البته کد داده شده چیزی را تعمیر نمی کند. در عوض، به PowerShell می‌گوید که به یک سرور متصل شود، یک فایل اجرایی مخرب را از یک سرور خارجی دانلود کرده و آن را اجرا کند. یکی از نمونه‌های این حمله از PowerShell برای دانلود یک dropper استفاده کرد که سپس پنج نوع بدافزار دیگر را روی رایانه شخصی مورد نظر دانلود کرد.

نوع دیگری از این حمله PowerShell “فعال شده توسط کاربر” در حال ارسال از طریق ایمیل مشاهده شد. این ایمیل حاوی یک فایل HTML بود که شبیه مایکروسافت ورد طراحی شده بود. وقتی باز شد، ادعا کرد که نمی تواند اطلاعات را در سند Word نمایش دهد زیرا یک برنامه افزودنی کار نمی کند. سپس از کاربر خواسته شد تا کدهای مخرب را در PowerShell کپی و جایگذاری کند تا آن را برطرف کند یا فایل بدی را دانلود کند که این کار را برای بازیگر بد انجام می دهد.

مطلب مرتبط:   مذاکره کنندگان باج افزار چیست و چگونه می توانند پول نقد جدی شما را پس انداز کنند؟

فایل های مخرب با استفاده از PowerShell برای اجرای بدافزار بدون فایل

نسخه ترسناک حمله PowerShell از بدافزار بدون فایل برای حمله به هدف استفاده می کند. این از PowerShell برای اجرای وظایف مخرب بدون بارگیری فایل ها در رایانه شخصی قربانی استفاده می کند. اگر بدافزار هیچ فایلی را دانلود نکند، از شناسایی آن توسط نرم افزار آنتی ویروس جلوگیری می کند و پیدا کردن و حذف آن را سخت می کند.

ما در مقاله خود در مورد بدافزاری که به دانلودکنندگان غیرقانونی فیلم حمله می‌کند، نسخه‌ای از این حمله را پوشش دادیم. این روش حمله معمولاً یک فایل LNK را که حاوی یک اسکریپت مخرب است به عنوان یک فایل دیگر پنهان می کند. در مثال فیلم غیرقانونی، فایل LNK برای فریب دادن افراد به اجرای آن، به شکل یک فایل ویدئویی تغییر یافته است.

چگونه از حملات PowerShell جلوگیری کنیم

مشکل انجام اقدامات برای جلوگیری از حملات PowerShell این است که راه حل های قانونی وجود دارد که شما را ملزم به وارد کردن دستورات در PowerShell می کند. به این ترتیب، قبل از وارد کردن یک فرمان، ایده خوبی است که کمی زمان بگذارید و در نظر بگیرید که منبع چقدر قابل اعتماد است.

اگر به دنبال راه حلی هستید و یک وب سایت معتبر و معتبر پیدا کرده اید که بیان می کند باید از یک دستور استفاده کنید، پس اجرای آن خوب است. اگر از طریق یک پیام خطای جعلی که برای ترساندن شما طراحی شده است، به شما آسیب می رساند.

اگر فرمانی را می بینید و مطمئن نیستید که چه کاری انجام می دهد، سعی کنید آن را به صورت آنلاین جستجو کنید. اگر مفید است، باید نتایجی را پیدا کنید که افراد دیگری این فرمان را پیشنهاد می کنند. اگر چیزی پیدا نکردید (یا حتی کسی را پیدا کردید که آن را مخرب گزارش کرده است)، اجرای آن ایده خوبی نیست.

مطلب مرتبط:   کلاهبرداری های CryptoRom چیست و چگونه می توانید ایمن بمانید؟

اگر به اشتباه حمله PowerShell را انجام دادید، می توانید بهترین برنامه های آنتی ویروس را برای بدافزار حذف کنید. با این حال، همانطور که قبلاً توضیح دادیم، حملات PowerShell تمام تلاش خود را می‌کنند تا خود را تا حد امکان غیرقابل شناسایی کنند. اگر بعد از اجرای فرمان PowerShell متوجه مشکلی شدید، بهترین گزینه این است که سیستم عامل خود را تمیز کنید تا مطمئن شوید که همه چیز پاک شده است.

PowerShell به خودی خود یک ابزار مفید است که به شما کنترل پیشرفته ای بر روی رایانه شخصی شما می دهد. با این حال، برخی از بازیگران بد سعی می کنند مردم را فریب دهند تا از آن سوء استفاده کنند. خوشبختانه، اگر عقل خود را در مورد خود حفظ کنید، می توانید از ضربه خوردن توسط یکی جلوگیری کنید.

Tags: