Microsoft PowerShell es un objetivo de piratería, pero sus defensas están mejorando


Sin embargo, los cambios recientes han hecho que los ataques sean más fáciles de identificar. PowerShell 5.0, lanzado el año pasado, agregó un conjunto completo de herramientas de registro extendidas. En un ataque al sistema registrado por la empresa de respuesta Mandiant, que a veces colabora en la investigación de PowerShell con el equipo de Microsoft, Advanced Persistent Threat 29 (también conocido como Cozy Bear, un grupo vinculado al gobierno ruso) utilizó un ataque múltiple que incorporó un elemento de PowerShell. .

«Tan pronto como repararon las máquinas, se vieron comprometidas nuevamente», dice Holmes sobre los esfuerzos de defensa de Mandiant. «Sabían que los atacantes estaban usando una combinación de Python y herramientas de línea de comandos y utilidades del sistema y PowerShell, lo que sea que haya. Así que actualizaron el sistema para usar la versión más nueva de PowerShell que tiene un registro extenso, y de repente pudieron ver los registros y ver exactamente lo que [the attackers] estaban haciendo, a qué máquinas se estaban conectando, cada comando que estaban ejecutando. Quitó por completo ese velo de secreto».

Si bien no es una panacea y no mantendrá alejados a los atacantes, el énfasis renovado en el registro facilita la detección y la generación de informes. Este es un paso básico que facilita la reparación y la respuesta después de que finaliza un ataque o si persiste a largo plazo.

«PowerShell creó la capacidad para que los usuarios establezcan el registro que desean o necesitan, y también agregó una política de omisión. Como atacante, registrará su evento o activará el comando, lo cual es una señal de alerta importante». dice Michael Viscuso, CTO de Carbon Black, que rastrea las tendencias de PowerShell como parte de su investigación de inteligencia de amenazas.PowerShell acorraló a los atacantes para que tomaran una decisión. Sin embargo, si un atacante elige permitirle registrar sus actividades, suponiendo que tenga acceso privilegiado a la máquina, simplemente puede eliminar esos registros después. Es un obstáculo, pero en su mayoría es más inconveniente.

Y las recientes mejoras de defensa de PowerShell van más allá de los registros. El marco también agregó recientemente el «modo de idioma restringido», para crear aún más control sobre los comandos que los usuarios de PowerShell pueden ejecutar. El antivirus basado en firmas ha sido capaz de marcar y bloquear scripts maliciosos de PowerShell durante años, y el lanzamiento de Windows 10 amplió las capacidades de estos servicios al integrar la interfaz Windows Antimalware Scan para una visibilidad más profunda del sistema operativo. La industria de la seguridad en su conjunto también ha logrado avances en la determinación de cómo se ve la actividad normal básica para PowerShell, ya que las desviaciones podrían indicar un comportamiento malicioso. Sin embargo, toma tiempo y recursos establecer esta línea de base individualmente, ya que difiere para la red de cada organización.

Los probadores de penetración (expertos en seguridad pagados para entrar en las redes para que las organizaciones puedan tapar los agujeros que encuentren) también han estado prestando cada vez más atención a PowerShell. “El año pasado definitivamente parece haber visto un resurgimiento en el interés de la comunidad de pentest, así como productos defensivos que prestan más atención a los ataques relacionados con PowerShell”, dice Will Schroeder, un investigador de seguridad que estudia las capacidades ofensivas de PowerShell.

juego de conchas

Sin embargo, como con cualquier mecanismo de defensa, estas medidas también estimulan la innovación del atacante. En las conferencias de seguridad Black Hat y DefCon en Las Vegas el mes pasado, Holmes de Microsoft hizo varias presentaciones sobre los métodos de seguimiento que los atacantes podrían usar para ocultar su actividad en PowerShell. También mostró cómo los clientes pueden configurar sus sistemas para optimizar las herramientas para obtener visibilidad y minimizar las configuraciones incorrectas que los atacantes pueden aprovechar para proteger su comportamiento.

“Va a ver atacantes más avanzados. Aquellos que usaron PowerShell como su tecnología de punta hace cuatro o cinco años están comenzando a alejarse del uso de PowerShell puro hacia otros rincones más oscuros del sistema operativo a medida que avanzan. las tácticas defensivas se ponen al día». «, dice Matthew Hastings, gerente de productos de detección y respuesta en la empresa de seguridad de punto final Tanium. «No hay razón para cambiar mis herramientas, tácticas y procedimientos si no me atrapan, pero si la gente comienza a ver lo que estoy haciendo, yo’ Voy a cambiar lo que tengo que hacer para evitarlo».

Artículos Recientes

Post Relacionados

Leave A Reply

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí