PowerShell منبع بیش از یک سوم تهدیدهای امنیتی مهم است

طبق یک مطالعه تحقیقاتی سیسکو که امروز در کنفرانس RSA منتشر شد ، PowerShell منبع بیش از یک سوم تهدیدهای حیاتی بود که در نیمه دوم سال 2020 شناسایی شده بود.

گروه برتر تهدیدات شناسایی شده در نقاط انتهایی توسط Cisco Secure Endpoint ابزاری با کاربرد دوگانه بود که برای کارهای بهره برداری و پس از بهره برداری استفاده می شد. سیسکو در این گزارش اشاره کرد ، PowerShell Empire ، Cobalt Strike ، PowerSploit ، Metasploit و سایر ابزارهای این چنینی کاربردهای قانونی دارند ، اما آنها نیز بخشی از جعبه ابزار مهاجمان شده اند. چنین شیوه های "زندگی در خارج از کشور" می تواند هنگام استفاده از ابزارها یا کد های خارجی برای به خطر انداختن سیستم ها ، از شناسایی جلوگیری کند.

در وهله دوم ، باج افزار بود و احتمالاً پس از هک اخیر Colonial Pipeline نیازی به اظهارنظر بیشتر نیست.

سومین مورد بیشتر گروه شاخص حیاتی سازش (IoC) شناسایی شده بدافزار بدون فایل بود – همچنین تهدید مشترک PowerShell. این نوع بدافزار از فایلهای اجرایی استفاده نمی کند و هیچ امضایی ندارد ، بنابراین تشخیص آن را به چالش می کشد. بدافزار بدون پرونده اغلب از طریق تزریق فرآیند مشکوک و فعالیت رجیستری خود را نشان می دهد. انواع بدافزارهای بدون پرونده شامل Kovter ، Poweliks ، Divergent و Lemon Duck.

همچنین ابزارهای استفاده دوگانه چهارمین تهدید رایج را بر عهده داشتند: تخلیه اعتبار نامه ، که توسط هکرها برای تراشیدن اعتبار ورود به سیستم از یک ماشین در معرض خطر استفاده می شود. معمول ترین ابزار شناسایی شده Mimikatz بود که Cisco Secure Endpoint اطلاعات مربوط به تخلیه اطلاعات را از حافظه گرفت.

این چهار دسته مسئول بیش از 80 درصد IoC های مهم هستند. بقیه شامل تهدیداتی مانند کرم ها ، تروجان های دسترسی از راه دور (RAT) و تروجان های بانکی با ترکیبی از بارگیری کننده های مختلف ، پاک کننده ها و روت کیت ها است.

"بر اساس تحقیقات سیسکو ، PowerShell منبع بیش از یک سوم موارد مهم است. Gedeon Hombrebueno ، مدیر محصولات Endpoint Security برای Cisco Secure ، خاطرنشان كرد: "

 PowerShell Security

محافظت از PowerShell در برابر هكرها

Hombrebueno به eSecurity Planet گفت كه برای" لایه لایه "لازم است PowerShell و سایر ابزارها و برنامه های کاربردی:

  • استفاده از چندین روش پیشگیری برای متوقف کردن حملات تزریق حافظه که می توانند با سو explo استفاده از آسیب پذیری ها در برنامه ها و فرایندهای سیستم عامل به نقاط انتهایی نفوذ کنند
  • محافظت در برابر حملات مبتنی بر اسکریپت برای جلوگیری از بارگیری برخی DLL ها توسط برخی معمولاً از برنامه های دسک تاپ و فرآیندهای کودک آنها استفاده می شود
  • با استفاده از تجزیه و تحلیل رفتاری برای مطابقت دادن جریان سوابق فعالیت با مجموعه ای از الگوهای فعالیت ck برای محافظت در برابر سو mal استفاده از ابزارهای موجود در زمین
  • اجرای جستجوی پیچیده و نظارت بر فعالیت PowerShell در نقاط انتهایی برای دستیابی به دید عمیق تر از آنچه برای هر نقطه پایانی اتفاق افتاده است
  • اعمال اقدامات پاسخ یک کلیک یا خودکار برای رفع مشکل

Hombrebueno گفت Cisco Secure Endpoint می تواند به همه این اقدامات "بدون پیچیدگی بیشتر" کمک کند.

Cisco Secure Endpoint یکی از برترین محصولات تشخیص و پاسخ به نقطه پایانی (EDR) ماست. ابزارهای EDR عموماً در برابر حملات PowerShell م effectiveثر هستند.

همچنین نگاه کنید به: MITER Protection Testshed New Light on Endpoint Security

How To Secure PowerShell

مرکز امنیت اینترنت تعدادی از اقدامات مدیران را برای کمک به امنیت ارائه می دهد. PowerShell ، ابزار مدیریت رابط خط فرمان مایکروسافت برای ویندوز و ویندوز سرور.

اول ، فقط سرپرستان شبکه و سایر طرفداران فناوری اطلاعات به دسترسی به ابزار رابط خط فرمان Microsoft نیاز دارند ، بنابراین اجرای آن را جلوگیری یا محدود کنید و اجرای اسکریپت های امضا شده را مجاز کنید. فقط. مدیریت از راه دور ویندوز را در حالی که در آن هستید غیرفعال یا محدود کنید.

CIS شامل یک آموزش برای مدیریت اجرای اسکریپت در تنظیمات خط مشی گروه است.

برای روشن کردن اجرای اسکریپت در تنظیمات Group Policy:

  • روی منوی شروع کلیک کنید> صفحه کنترل> سیستم و امنیت> ابزارهای مدیریتی
  • ایجاد یا ویرایش اشیا Policy خط مشی گروهی> Windows PowerShell> روشن کردن اجرای اسکریپت

برای روشن کردن تنظیمات سیاست اجرای اسکریپت:

  • غیرفعال کردن روشن کردن اجرای اسکریپت به معنای انجام اسکریپت ها است اجرا نمی شود و PowerShell غیرفعال است
  • اگر روشن کردن اجرای اسکریپت را فعال کنید ، می توانید خط مشی اجرا را انتخاب کنید فقط اسکریپت های امضا شده را مجاز کنید

فروشنده مدیریت ریسک دیجیتال Digital Shadows همچنین چندین نکته امنیتی PowerShell را ارائه می دهد ، از جمله استفاده از حالت زبان محدود .

هدف است و در حال اجرا روی سرویس دهنده سوم حزب، نحوه استفاده از آن

احساس نوستالژیک اینجا است? شما می توانید هدف بالا و در حال حاضر، با تشکر از سرور مهندسی معکوس در حال اجرا.

ققنوس هدف سرور غیر مجاز شخص ثالث است که مشتریان هدف مدرسه قدیمی در واقع می تواند به اتصال است. تبلیغات و سهام برنامه خود، بنابراین این تجربه کاملا معتبر نیست اما آیا پیام کار نخواهد کرد — اگر شما می توانید هر کسی به صحبت کردن.

مرتبط: تبدیل هدف، پیام رسانی برنامه AOL هرگز نمی خواستم

این مستقیم به جلو به راه اندازی نیست. شما باید نصب یک نسخه قدیمی از هدف — هر چیزی تا 5.9 پشتیبانی می شود. نسخهٔ 4.7 برای ما کار می کرد. سپس شما باید برای ایجاد یک حساب کاربری در صفحه هدف ققنوس. بعد، در هدف، شما تنظیمات شبکه با اشاره به iwarg. ddns. خالص در بندر 5190 را تغییر دهید. مانند این:

این که سرور با نام تجاری جدید به لیست دوستان قدیمی نیست انتقال بیش از، بنابراین برای صحبت کردن با هر کسی شما می باید برای متقاعد کردن دیگران برای راه اندازی این نرم افزار قدیمی پیکربندی تنظیمات شبکه و سپس اضافه کنید. تا آنجا که ما می توانید بگویید، بنابراین شما می گرفتن تجربه معتبر یکپارچهسازی با سیستمعامل سرور بسیار آهسته است.

با تشکر از اسکات که کرک برای این با اشاره به ما سنگ! امیدوارم بیشتر سرویس دهنده سوم حزب طول زمان خواهد شد تا پاپ و ما می توانیم تمام مبارزه که هدف یکپارچهسازی با سیستمعامل جالبترین سرور است.


جاستین گلدان سردبیر اخبار برای چگونه به گیک است. او در ژنراتور اورگن زندگی می کند. اگر شما می خواهید او را در توییتر و فیس بوک، دنبال کنید. لازم نیست.



Millennials’ ندارد qualms درباره محصولات GM بر خلاف قدیمی تر دو نسل سوم در 30s تکنولوژی است چیز خوبی برای کشاورزی و حمایت از فنون کشاورزی مربوط به اینده، یک نظرسنجی در بریتانیا است.

Millennials’ ندارد qualms درباره محصولات GM بر خلاف قدیمی تر دو نسل سوم در 30s تکنولوژی است چیز خوبی برای کشاورزی و حمایت از فنون کشاورزی مربوط به اینده، یک نظرسنجی در بریتانیا است.

خرید فیلترشکن