![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Die Windows-PowerShell erweist sich zunehmend als Schwachstelle bzw. Einfallstor f\u00fcr Schadsoftware. Aktuell nutzt ein Erpressungstrojaner die PowerShell zur Infektion.<\/p>\nDie Windows-PowerShell erweist sich zunehmend als Schwachstelle bzw. Einfallstor f\u00fcr Schadsoftware. Aktuell nutzt ein Erpressungstrojaner die PowerShell zur Infektion.<\/p>\n
<\/p>\n
Bereits im Januar 2016 hatte ich im Artikel Malware Trojan.DNSChanger umgeht Powershell-Restrictionen<\/a> auf das Risiko hingewiesen. Die dort beschriebene Malware umgeht einfach die PowerShell-Restriktionen, indem auf die Aufgabenplanung zur\u00fcckgegriffen wird. Nat\u00fcrlich sind dort zum Erstellen der Aufgaben administrative Berechtigungen erforderlich. Diese erteilt der Anwender aber gerne, wenn ihm nur was versprochen wird.<\/p>\n Vor einem neuen Ansatz, den Schadsoftware zur Infizierung nutzt, warnen Sicherheitsforscher von carbonblack.com in diesem Artikel<\/a>. Die Ransomeware ist gleich in PowerShell geschrieben und wird \u00fcber infizierte Word-Dokumente per Makro eingeschleust. <\/p>\n Die Word-Dateien kommen als Anhang einer Mail (als Rechnung oder \u00e4hnliches getarnt). Beim Einlesen der Word-Datei wird der Anwender aufgefordert, die Makrofunktionen freizugeben. Das Makro \u00f6ffnet die Eingabeaufforderung und l\u00e4dt ein PowerShell-Script herunter, welches dann ausgef\u00fchrt wird. Das Script verschl\u00fcsselt alle Dateien mit vorgegebenen Dateinamenerweiterungen. Die Sicherheitsforscher geben auch Hinweise, wie man die Ransomware mit der von der Firma angegebenen, kostenpflichtigen Sicherheitsl\u00f6sung Carbon Black Enterprise Protection erkennen kann. Bei heise.de findet sich noch ein deutschsprachiger Artikel<\/a> mit weiteren Hinweisen zum Thema. <\/p>\n \u00c4hnliche Artikel:<\/strong> Die Windows-PowerShell erweist sich zunehmend als Schwachstelle bzw. Einfallstor f\u00fcr Schadsoftware. Aktuell nutzt ein Erpressungstrojaner die PowerShell zur Infektion.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,3694],"tags":[4311,4328],"class_list":["post-176086","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-10","tag-powershell","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/176086","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=176086"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/176086\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=176086"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=176086"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=176086"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Die PowerShell ist ja ein m\u00e4chtiges Werkzeug f\u00fcr Windows-Administratoren. In falschen H\u00e4nden \u00f6ffnet die PowerShell aber \"b\u00f6sen Buben\" Tor und T\u00fcr auf Windows-Systemen. Normalerweise verhindert PowerShell mit den Standardvorgabe die Ausf\u00fchrung von PS-Scripten (siehe mein Artikel PowerShell-Skripte lassen sich nicht ausf\u00fchren<\/a>). Die Ausf\u00fchrungsregeln f\u00fcr PowerShell-Scripte ist standardm\u00e4\u00dfig auf \"Restricted\" gesetzt. Allerdings ist die PowerShell eine potentielle Schwachstelle, wie ich vor l\u00e4ngerer Zeit im Artikel Windows PowerShell als Einfallstor f\u00fcr Malware<\/a> ausgef\u00fchrt habe. <\/p>\n
PowerWare Ransomware nutzt PowerShell<\/h3>\n
![](\"https:\/\/www.carbonblack.com\/wp-content\/uploads\/2016\/03\/PWa1.png\")
(Quelle: carbonblack.com)<\/p>\n
Cerber, neue, sprechende Ransomware<\/a>
Was sch\u00fctzt vor Locky und anderer Ransomware?<\/a>
Hollywood-Klinik nach Ransomware-Angriff offline<\/a>
Neue Android SLocker-Ransomware-Variante<\/a>
ESET warnt vor Nemucod-Malware<\/a>
Erpressungs-Software auf dem Vormarsch<\/a>
Sicherheitsinformationen zum (Kar-)Freitag (25.03.2016)<\/a>
Wichtige Sicherheitsinfos (24.3.2016)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"