Bitdefenderin tutkimus osoittaa, että PowerShell, WMIC ja muut luotetut IT-työkalut ovat nykyisen hyökkääjien ensisijaisia aseita. Normaalin hallinnan ja hyökkäyksen erottaminen on vaikeampaa kuin koskaan.
Tietoturvayritys Bitdefender on julkaissut laajan tutkimuksen siitä, miten hyökkääjät käyttävät organisaatioiden omia hallintatyökaluja hyväkseen. 45 päivän seurannan perusteella selviää, että suurin turvallisuusriski ei enää ole perinteinen haittaohjelma vaan juuri ne työkalut, joihin luotamme päivittäin.
Tutkimuksen mukaan nykyaikaiset uhkatoimijat suosivat PowerShelliä, WMIC:tä, netsh-komentoa, Certutil-apuohjelmaa ja MSBuild-työkalua. Nämä samat sovellukset ovat IT-ammattilaisten arkipäivää, mikä tekee haitallisen toiminnan tunnistamisesta erityisen haastavaa. Hyökkääjät pystyvät toimimaan piilossa tavallisen järjestelmänhallinnan varjossa.
Ongelma on erityisen merkittävä MSP-yrityksille ja niiden asiakkaille, sillä perinteiset tietoturvatyökalut eivät helposti erota laillista hallintaa pahantahtoisesta toiminnasta. Kun hyökkääjä käyttää samoja komentoja kuin järjestelmänvalvoja, normaalit heuristiikat ja käyttäytymisanalyysi pettävät.
Bitdefenderin suositus on panostaa syvempään käyttäytymisseurantaan ja kontekstin ymmärtämiseen. Pelkkä työkalujen seuranta ei riitä – organisaatioiden on tunnettava työkalujensa normaali käyttötapa ja poikkeamat siitä. Tämä vaatii merkittävää panostusta lokianalyysiiin ja käyttäjätoiminnan mallintamiseen.
Tärkeimmät pointit
- PowerShell, WMIC, netsh, Certutil ja MSBuild ovat hyökkääjien suosituimmat työkalut
- Bitdefenderin 45 päivän tutkimus osoittaa perinteisten työkalujen väärinkäytön yleisyyden
- Haitallisen ja laillisen hallintatoiminnan erottaminen yhä vaikeampaa
- MSP-yritykset erityisen haavoittuvia kontekstin puutteen vuoksi
- Suositus: syvempi käyttäytymisseuranta ja poikkeamien tunnistus
Lähde: The Hacker News — alkuperäinen artikkeli julkaistu 15.5.2026
