Las vulnerabilidades de PowerShell están detrás del 26% de los ataques a empresas

También puedes leer... Cómo evaluar las opciones de SD-WAN La Seguridad es Infinity Gestión de cuentas con privilegios para Dummies Cómo combatir las amenazas cifradas Cómo vencer al malware evasivo

En los últimos meses se ha registrado un aumento del malware sin fichero, o fileless malware, un tipo de software malicioso que no entra en el ordenador a través de un documento específico, sino que se instala dentro de la memoria RAM del propio equipo. De esta manera, mientras permanece encendido, el código recopila información de otros usuarios a través de la red, identifica las unidades más valiosas y recaba de éstas información sensible. Según Panda Security, el uso extendido de PowerShell en las empresas ha favorecido los ataques de malware sin fichero en 2018. Concretamente, la compañía registró un 26% de bloqueos de ataques que utilizaban esta técnica.

PowerShell, la consola de sistema (CLI) de Windows, permite a los administradores de sistemas automatizar completamente tareas sobre servidores y equipos, así como controlar determinadas aplicaciones como Microsoft Exchange, SQL Server o IIS. Si los ciberatacantes se hacen con su control, pueden adquirir un gran número de permisos en los sistemas de la empresa e introducir malware sin complicaciones.

A través de PowerShell, los ciberdelincuentes introducen el código malicioso en la memoria RAM de algún equipo de la empresa, que, una vez ejecutado, se convierte en un vector de ataque dentro de las redes corporativas. Al no existir ningún rastro del código en el disco duro del primer equipo infectado, muchas de las soluciones de seguridad tradicionales no detectan el ataque, salvo bajo sistemas de monitorización heurística que se lleven a cabo frecuentemente.

Para minimizar los riesgos debidos al mal uso de Powershell, Panda Security aconseja deshabilitarlo en caso de que no sea necesario para administrar los sistemas. Si PowerShell es utilizado habitualmente por los administradores y no puede ser deshabilitado, es necesario que los equipos y red corporativa cuenten con la versión más actualizada de PowerShell (PowerShell 5) pues cuenta con medidas de seguridad adicionales para Windows.

Otras medidas son dejar habilitadas solo determinadas características de PowerShell para evitar acciones potencialmente peligrosas, como las llamadas arbitrarias a APIs de Windows o la desactivación de ciertos macros; tener activada la grabación automática de los comandos, una característica de logueo en PowerShell implementada por Microsoft en acciones que han resultado ser un síntoma de ciberataques; y contar con soluciones de ciberseguridad avanzadas que integren servicios de Threat Hunting, porque sólo los servicios gestionados de detección e investigación de amenazas son capaces de descubrir ataques avanzados sin malware y comportamientos maliciosos.