Как защитить сеть от эксплоитов Powershell?

Как защитить сеть от эксплоитов Powershell?

Имеется общеизвестный термин «выжить в пустыне» и его используют не только экстремальные туристы, но и хакеры. У хакеров этот термин имеет немножечко другое значение, так они называют процесс сокрытия своих следов с использованием стандартных программных инструментов на конечных узлах, стараясь сделать свои преступные шаги похожими на обычные административные задачи, чтобы средства обнаружения не могли обнаружить. Добро пожаловать в мир атак PowerShell.

Что такое PowerShell?


PowerShell — расширяемое средство автоматизации от Microsoft с открытым исходным кодом, состоящее из оболочки с интерфейсом командной строки и сопутствующего языка сценариев.

Он имеет глубокие корни в командной строке DOS, которая поставляется с первыми компьютерами IBM еще в 1980-х годах и вселенной .NET. Теперь этот инструмент по умолчанию упакован в текущую версию Windows 10. PowerShell существует уже более десяти лет в той или иной форме. Он поставляется в комплекте с Windows с версии 7, а теперь имеет версии Linux

PowerShell становится все более изощренным, и для  ознакомления с основным языком для повышения уровня защиты и повышения производительности при администрировании компьютеров Windows рекомендуется ознакомиться с основными сценариями безопасности PowerShell . В этой статье показано, как злоумышленники могут использовать этот язык для своих злых целей.

 

PowerShell универсален и опасен


PowerShell обладает высокой универсальностью, он может выполнять множество команд, которые могут непосредственно проверять и изменять определенные ресурсы Windows, такие как объекты реестра, переменные среды, интерфейс управления Windows и программы, хранящиеся в памяти. Его можно использовать для администрирования функций Exchange и других задач сервера Windows. Он также может устанавливать скрипты, выполняемые во время загрузки, что делает и его привлекательным для хакеров, которые нуждаются в сохранении вредоносных скриптов.


К сожалению, многие антивирусные инструменты обычно игнорируют сценарии PowerShell, но это меняется, поскольку все больше вредоносных программ используют эти инструменты. В недавнем отчете Symantec было обнаружено, что более 95% всех сценариев, анализируемых средством песочницы, были злонамеренными и более половины выполнялись из параметров командной строки. Сценарии, вызывающие тревогу, включали макросы Office, вредоносный код JavaScript, атаки без использования файлов и способы скрыть подозрительные загрузки или URL-адреса в фишинговых письмах.

Однин из основных минусов PowerShell заключается в том, что он встречается во множестве различных законных подпрограмм Windows и запускается и упаковывается множеством способов. Вы не можете просто блокировать его повсеместно на своем предприятии, не причиняя вред рабочим процессам компании.

 

Почему хакеры любят PowerShell?


PowerShell - хакерская площадка по нескольким важным причинам:

·         По умолчанию он генерирует несколько следов , что затрудняет отслеживание операций с помощью защитных инструментов и криминалистики.

·         Защитники часто пропускают его как потенциальный источник инфекции при анализе атак.

·         Многие песочницы не достаточно тщательно анализируют его скрипты.

·         Многие системные администраторы слишком доверяют сценариям PowerShell, не понимая, что они могут содержать вредоносное ПО.

·         PowerShell может создавать различные условия удаленного доступа и удаленное выполнение кода, что делает его привлекательным инструментом для хакеров.

Как вы можете видеть, у PowerShell есть некоторые функции по умолчанию, связанные с правами на регистрацию, шифрование и доступ. Корпорация Microsoft сделала это для того, чтобы можно было легко писать сценарии и производить отладки, оставляя более строгие условия для пользователей, которые в основном забывают их реализовать.

Хакеры выяснили способы более жестких параметров политики, таких как использование сетевых протоколов и других ключей командной строки и изменений в реестре Windows. 


Примеры использования PowerShell


Возьмем, к примеру, вирус-вымогатель Locky. Вышеупомянутый код загружается на ПК с помощью эксплойта PowerShell под названием Nemucod, который обычно поставляется в виде вложений в спам и фишинговые письма.  Такие эксплойты, как Neutrino, Magnitude и Sundown содержали в ядре PowerShell, чтобы сценарии могли выполняться внутри браузера.

Авторы вредоносных программ могут кодировать свои скрипты, таким образом, чтобы они полностью скрываются от сканирования. Рекомендуем сканировать сомнительные скрипты через sdbg.exe , shellcode2exe или другие инструменты анализа вредоносных программ.

PowerShell также может использоваться для бокового передвижения в сети, так что, как только один ПК заражен, злоумышленник может перейти к другой более желаемой цели, такой как сервер или база данных. Например, PowerShell иногда применяется для компрометации презентаций PowerPoint с помощью вредоносных макросов, содержащих полезную нагрузку вредоносного ПО. 


Советы по защите от эксплойтов PowerShell


Для защиты сети и предотвращения самых базовых атак на основе PowerShell нужно предпринять следующие действия:

·         Ознакомьтесь с методами атаки PowerShell . Metasploit, Veil и Social Engineering Toolkit, которые включают возможность генерации полезных нагрузок PowerShell и исходящих скриптов. Если вы уже используете один из этих инструментов, уделите время на проверку того, как работают скрипты.

·         Используйте инструмент Pentesting, специфичный для PowerShell, такой как PowerSploit, Nishang или Mimikatz. Многие из них имеют встроенные скрипты для повышения привилегий, изменения скриптов и удаленного выполнения кода. Чем больше вы сможете узнать о темной стороне PowerShell, тем надежнее защититесь от будущих атак.

·         Включите расширенный журнал PowerShell, чтобы появилась возможность отслеживания, какие действия скрипт производит в вашей сети. Для этого требуется версия 3, поэтому убедитесь, что вы обновляетесь до последней версии PowerShell на каждом ПК и, если возможно, удалите версию 2, поскольку она является наименее безопасной версией.

·         Проведение непрерывного обучения пользователей. Один единственный клик на вредоносный прикрепленный документ электронной почты может заразить всю вашу сеть. Когда пользователям предлагается включить макросы для просмотра вложения, они должны теперь знать, чтобы нажать «Нет»,

·         Понимать, кто использует сценарии PowerShell и кто действительно должен запускать их на вашем предприятии. 

·          Посмотрите, можно ли отключить PowerShell по умолчанию в процессе установки Windows. Не все должны запускать свои скрипты.

·         Уточните, имеется ли возможность использовать функцию черного списка приложений AppLocker для блокирования потенциальных вредоносных сценариев и настроить политики для блокировки неподписанных скриптов и приложений PowerShell. Несмотря на то, что разработчики вредоносных программ изобрели способы обойти эти действия, они могут помочь остановить потенциальный поток вредоносных приложений, попадающих в вашу инфраструктуру.

·         Необходимо исследовать, каким образом еще может запускаться PowerShell, помимо прямого запуска программы. Например, при использовании .NET, Windows System Management и других инструментов.

·         Проверьте, может ли ваша защита электронной почты захватывать злонамеренные скрипты или может быть настроена для более тщательного изучения их поведения. Большинство инфекций начинается с фишинга или спама, поэтому устранение их до того, как они когда-либо войдут в вашу сеть.

PowerShell - это и благословение, и проклятие, но соответствующей защитой, может быть меньше последствий. Теперь вы знаете, что не следует просто игнорировать эти сценарии в будущем.

19.04.2018

Возврат к списку

КЛИЕНТЫ КОМПАНИИ

Asia
Аеропорт
Волковгеология
AirAstana
Метрополитен
Astel
Министерство
НацБанк
сбер
 Monamie
ЦеснаГарант