{"id":216561,"date":"2019-04-04T00:19:00","date_gmt":"2019-04-03T22:19:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=216561"},"modified":"2019-05-23T18:31:06","modified_gmt":"2019-05-23T16:31:06","slug":"windows-powershell-ist-beliebtes-angriffsziel","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/04\/04\/windows-powershell-ist-beliebtes-angriffsziel\/","title":{"rendered":"Windows-PowerShell ist beliebtes Angriffsziel"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2013\/03\/winb.jpg\" width=\"58\" align=\"left\" height=\"58\"\/>Die PowerShell ist in allen Windows-Systemen als Script-Umgebung vorhanden und nicht nur bei Administratoren beliebt. Auch Angreifer sch\u00e4tzen die PowerShell um b\u00f6sartige Scripte in Windows-Umgebungen auszuf\u00fchren. <\/p>\n<p><!--more--><\/p>\n<p>Bei der Auswertung von Sicherheitsvorf\u00e4llen bei Kunden haben die Sicherheitsforscher des Anbieters Red Canary herausgefunden, dass die PowerShell ganz oben auf der Liste der Pr\u00e4ferenzen von Cyber-Kriminellen steht. Dies geht aus dem Artikel Hackers Are Loving PowerShell, Study Finds hervor. <\/p>\n<p>Daten, die von 10.000 best\u00e4tigten Angriffen gesammelt wurden, zeigen, dass PowerShell, Skripting, Regsvr32, Connection Proxy, Spearphishing Attachments und Masquerading die g\u00e4ngigsten Techniken waren. Die am h\u00e4ufigsten eingesetzte Angriffstechnik verwendet die PowerShell, und der Grund ist klar. Die PowerShell ist seit einem Jahrzehnt standardm\u00e4\u00dfig in praktisch jedem Windows-Betriebssystem enthalten. Die PowerShell bietet Zugriff auf die Windows-API und ist selten eingeschr\u00e4nkt, so dass Angreifer keine Verwaltungs- und Automatisierungsaufgaben ausf\u00fchren k\u00f6nnen.<\/p>\n<p>Angreifer k\u00f6nnen mit PowerShell die Ausf\u00fchrung eines lokalen Skripts steuern, entfernte Ressourcen \u00fcber verschiedene Netzwerkprotokolle abrufen und ausf\u00fchren, \u00fcber die Befehlszeile \u00fcbergebene Nutzlasten kodieren oder PowerShell in andere Prozesse laden.<\/p>\n<p>Mit den leicht verf\u00fcgbaren PowerShell-Bibliotheken k\u00f6nnen Implementierungen die volle Funktionalit\u00e4t von PowerShell in beliebigen Prozessen nutzen. Die Open-Source- und plattform\u00fcbergreifende Verf\u00fcgbarkeit von PowerShell hat zudem zur Entwicklung von Tools gef\u00fchrt, die in der Lage sind, Schadcode f\u00fcr Windows, macOS und Linux zu erstellen.<\/p>\n<p>Weitere Details lassen sich dem&nbsp; Artikel Hackers Are Loving PowerShell, Study Finds (Englisch) entnehmen. Heise hat <a href=\"https:\/\/www.heise.de\/security\/meldung\/Studie-Angreifer-lieben-Powershell-4357396.html\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> einen deutschsprachigen Beitrag zum Thema ver\u00f6ffentlicht. Danke an Ralf f\u00fcr den <a href=\"https:\/\/borncity.com\/blog\/2017\/08\/27\/powershell-einfalltor-fr-hacker\/#comment-69984\" target=\"_blank\" rel=\"noopener noreferrer\">Kommentar<\/a> zum Beitrag <a href=\"https:\/\/borncity.com\/blog\/2017\/08\/27\/powershell-einfalltor-fr-hacker\/\" target=\"_blank\" rel=\"noopener noreferrer\">Windows PowerShell: Einfalltor f\u00fcr Hacker<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die PowerShell ist in allen Windows-Systemen als Script-Umgebung vorhanden und nicht nur bei Administratoren beliebt. Auch Angreifer sch\u00e4tzen die PowerShell um b\u00f6sartige Scripte in Windows-Umgebungen auszuf\u00fchren.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4311,4328,4325],"class_list":["post-216561","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-powershell","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/216561","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=216561"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/216561\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=216561"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=216561"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=216561"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}