طبق یک مطالعه تحقیقاتی سیسکو که امروز در کنفرانس RSA منتشر شد ، PowerShell منبع بیش از یک سوم تهدیدهای حیاتی بود که در نیمه دوم سال 2020 شناسایی شده بود.
گروه برتر تهدیدات شناسایی شده در نقاط انتهایی توسط Cisco Secure Endpoint ابزاری با کاربرد دوگانه بود که برای کارهای بهره برداری و پس از بهره برداری استفاده می شد. سیسکو در این گزارش اشاره کرد ، PowerShell Empire ، Cobalt Strike ، PowerSploit ، Metasploit و سایر ابزارهای این چنینی کاربردهای قانونی دارند ، اما آنها نیز بخشی از جعبه ابزار مهاجمان شده اند. چنین شیوه های "زندگی در خارج از کشور" می تواند هنگام استفاده از ابزارها یا کد های خارجی برای به خطر انداختن سیستم ها ، از شناسایی جلوگیری کند.
در وهله دوم ، باج افزار بود و احتمالاً پس از هک اخیر Colonial Pipeline نیازی به اظهارنظر بیشتر نیست.
سومین مورد بیشتر گروه شاخص حیاتی سازش (IoC) شناسایی شده بدافزار بدون فایل بود – همچنین تهدید مشترک PowerShell. این نوع بدافزار از فایلهای اجرایی استفاده نمی کند و هیچ امضایی ندارد ، بنابراین تشخیص آن را به چالش می کشد. بدافزار بدون پرونده اغلب از طریق تزریق فرآیند مشکوک و فعالیت رجیستری خود را نشان می دهد. انواع بدافزارهای بدون پرونده شامل Kovter ، Poweliks ، Divergent و Lemon Duck.
همچنین ابزارهای استفاده دوگانه چهارمین تهدید رایج را بر عهده داشتند: تخلیه اعتبار نامه ، که توسط هکرها برای تراشیدن اعتبار ورود به سیستم از یک ماشین در معرض خطر استفاده می شود. معمول ترین ابزار شناسایی شده Mimikatz بود که Cisco Secure Endpoint اطلاعات مربوط به تخلیه اطلاعات را از حافظه گرفت.
این چهار دسته مسئول بیش از 80 درصد IoC های مهم هستند. بقیه شامل تهدیداتی مانند کرم ها ، تروجان های دسترسی از راه دور (RAT) و تروجان های بانکی با ترکیبی از بارگیری کننده های مختلف ، پاک کننده ها و روت کیت ها است.
"بر اساس تحقیقات سیسکو ، PowerShell منبع بیش از یک سوم موارد مهم است. Gedeon Hombrebueno ، مدیر محصولات Endpoint Security برای Cisco Secure ، خاطرنشان كرد: "
محافظت از PowerShell در برابر هكرها
Hombrebueno به eSecurity Planet گفت كه برای" لایه لایه "لازم است PowerShell و سایر ابزارها و برنامه های کاربردی:
- استفاده از چندین روش پیشگیری برای متوقف کردن حملات تزریق حافظه که می توانند با سو explo استفاده از آسیب پذیری ها در برنامه ها و فرایندهای سیستم عامل به نقاط انتهایی نفوذ کنند
- محافظت در برابر حملات مبتنی بر اسکریپت برای جلوگیری از بارگیری برخی DLL ها توسط برخی معمولاً از برنامه های دسک تاپ و فرآیندهای کودک آنها استفاده می شود
- با استفاده از تجزیه و تحلیل رفتاری برای مطابقت دادن جریان سوابق فعالیت با مجموعه ای از الگوهای فعالیت ck برای محافظت در برابر سو mal استفاده از ابزارهای موجود در زمین
- اجرای جستجوی پیچیده و نظارت بر فعالیت PowerShell در نقاط انتهایی برای دستیابی به دید عمیق تر از آنچه برای هر نقطه پایانی اتفاق افتاده است
- اعمال اقدامات پاسخ یک کلیک یا خودکار برای رفع مشکل
Hombrebueno گفت Cisco Secure Endpoint می تواند به همه این اقدامات "بدون پیچیدگی بیشتر" کمک کند.
Cisco Secure Endpoint یکی از برترین محصولات تشخیص و پاسخ به نقطه پایانی (EDR) ماست. ابزارهای EDR عموماً در برابر حملات PowerShell م effectiveثر هستند.
همچنین نگاه کنید به: MITER Protection Testshed New Light on Endpoint Security
How To Secure PowerShell
مرکز امنیت اینترنت تعدادی از اقدامات مدیران را برای کمک به امنیت ارائه می دهد. PowerShell ، ابزار مدیریت رابط خط فرمان مایکروسافت برای ویندوز و ویندوز سرور.
اول ، فقط سرپرستان شبکه و سایر طرفداران فناوری اطلاعات به دسترسی به ابزار رابط خط فرمان Microsoft نیاز دارند ، بنابراین اجرای آن را جلوگیری یا محدود کنید و اجرای اسکریپت های امضا شده را مجاز کنید. فقط. مدیریت از راه دور ویندوز را در حالی که در آن هستید غیرفعال یا محدود کنید.
CIS شامل یک آموزش برای مدیریت اجرای اسکریپت در تنظیمات خط مشی گروه است.
برای روشن کردن اجرای اسکریپت در تنظیمات Group Policy:
- روی منوی شروع کلیک کنید> صفحه کنترل> سیستم و امنیت> ابزارهای مدیریتی
- ایجاد یا ویرایش اشیا Policy خط مشی گروهی> Windows PowerShell> روشن کردن اجرای اسکریپت
برای روشن کردن تنظیمات سیاست اجرای اسکریپت:
- غیرفعال کردن روشن کردن اجرای اسکریپت به معنای انجام اسکریپت ها است اجرا نمی شود و PowerShell غیرفعال است
- اگر روشن کردن اجرای اسکریپت را فعال کنید ، می توانید خط مشی اجرا را انتخاب کنید فقط اسکریپت های امضا شده را مجاز کنید
فروشنده مدیریت ریسک دیجیتال Digital Shadows همچنین چندین نکته امنیتی PowerShell را ارائه می دهد ، از جمله استفاده از حالت زبان محدود .