NSA varuje před hloupou chybou v boji proti malwaru Windows

Platforma pro automatizaci úloh PowerShell, která je často zneužívána aktéry hrozeb distribuujícími malware (otevře se na nové kartě), lze také použít pro detekci a prevenci útoků. Toto je rada, kterou nedávno poskytla americká Národní bezpečnostní agentura (NSA) systémovým administrátorům po celém světě.

Kromě center kybernetické bezpečnosti ve Spojeném království a na Novém Zélandu zveřejnila NSA bezpečnostní doporučení, ve kterém tvrdí, že blokování PowerShellu, běžné bezpečnostní praxe, ve skutečnosti snižuje obranné schopnosti organizací proti ransomwaru. (otevře se na nové kartě) a další formy kybernetických útoků.

Místo toho by jej správci systému měli používat k posílení své forenzní analýzy a reakce na incidenty a také k automatizaci co největšího počtu opakujících se úkolů.

Četná doporučení

„Blokování PowerShellu brání obranným schopnostem, které mohou poskytnout aktuální verze PowerShellu, a zabraňuje správnému fungování součástí operačního systému Windows. Nejnovější verze PowerShellu s vylepšenými schopnostmi a možnostmi mohou obráncům pomoci čelit zneužívání PowerShellu,“ uvedl NSA.

Informační zpráva přichází s řadou doporučení, včetně využití vzdálené komunikace PowerShell nebo použití protokolu Secure Shell (SSH) ke zlepšení zabezpečení ověřování pomocí veřejného klíče.

„Správná konfigurace WDAC nebo AppLocker ve Windows 10+ pomáhá zabránit útočníkovi získat plnou kontrolu nad relací PowerShellu a hostitelem,“ vysvětluje dokument.

Správci systému mohou také na svých koncových bodech hledat známky zneužití (otevře se na nové kartě) zaznamenáváním aktivity PowerShellu a protokolů monitorování.

Doporučení také správcům doporučuje, aby zapnuli funkce jako Deep Script Block Logging, Module Logging nebo Over-The-Shoulder Transscription, protože první z nich vytváří databázi protokolů, která je užitečná pro zjištění agresivní aktivity PowerShellu.

Ten umožňuje administrátorům zaznamenat každý vstup a výstup PowerShellu a lépe tak porozumět cílům útočníků.

„PowerShell je nezbytný pro zabezpečení operačního systému Windows,“ uzavřela NSA a dodala, že při správné konfiguraci a správě může být skvělým nástrojem pro údržbu a zabezpečení systému.

Přes BleepingComputer (otevře se na nové kartě)

Zdroj