Foto/reprodução: bleepingcomputer |
A Agência de Segurança Nacional (NSA) e as agências parceiras de segurança cibernética emitiram um comunicado, recomendando que os administradores de sistema usem o PowerShell para prevenir e detectar atividades maliciosas em computadores que usam Windows.
Porém, por que usar o PowerShell?
O PowerShell é frequentemente usado em ataques cibernéticos, aproveitando principalmente em estágio pós-exploração, mas os recursos de segurança incorporados na ferramenta de automação e configuração da Microsoft também podem beneficiar os defensores em seus esforços forenses, melhorar a resposta a incidentes e automatizar tarefas repetitivas.
A NSA e os centros de segurança cibernética nos EUA (CISA), Nova Zelândia (NZ NCSC) e Reino Unido (NCSC-UK) criaram um conjunto de recomendações para usar o PowerShell para mitigar ameaças cibernéticas em vez de removê-lo ou desativá-lo.
O bloqueio do PowerShell dificulta os recursos defensivos que as versões atuais do PowerShell podem fornecer e impede que os componentes do sistema operacional Windows sejam executados corretamente. Versões recentes do PowerShell com recursos e opções aprimoradas podem ajudar os defensores a combater o abuso do PowerShell – trecho do comunicado pela NSA.
Menor risco de de ser atacado
Reduzir o risco dos agentes de ameaças abusarem do PowerShell requer o aproveitamento de recursos na estrutura, como a comunicação remota do PowerShell, que não expõe credenciais de texto simples ao executar comandos remotamente em hosts Windows.
Os administradores devem estar cientes de que habilitar esse recurso em redes privadas adiciona automaticamente uma nova regra no Firewall do Windows que permite todas as conexões.
Personalizar o Firewall do Windows para permitir conexões apenas de pontos de extremidade e redes confiáveis ajuda a reduzir a chance de um invasor obter um movimento lateral bem-sucedido.
Para conexões remotas, as agências aconselham o uso do protocolo Secure Shell (SSH), suportado no PowerShell 7, para adicionar a conveniência e a segurança da autenticação de chave pública:
- conexões remotas não precisam de HTTPS com certificados SSL
- não há necessidade de hosts confiáveis, conforme necessário ao se comunicar remotamente pelo WinRM fora de um domínio
- gerenciamento remoto seguro por SSH sem senha para todos os comandos e conexões
Comunicação remota do PowerShell entre hosts Windows e Linux
Outra recomendação é reduzir as operações do PowerShell com a ajuda do AppLocker ou do Windows Defender Application Control ( WDAC ) para configurar a ferramenta para funcionar no Modo de Linguagem Restrita (CLM), negando assim operações fora das políticas definidas pelo administrador.
Detectando o uso malicioso do PowerShell
Gravar a atividade do PowerShell e monitorar os logs são duas recomendações que podem ajudar os administradores a encontrar sinais de possível abuso.
A NSA e seus parceiros propõem ativar recursos como Deep Script Block Logging (DSBL), Module Logging e Over-the-Shoulder transcription (OTS).
Os dois primeiros permitem a criação de um banco de dados abrangente de logs que pode ser usado para procurar atividades suspeitas ou maliciosas do PowerShell, incluindo ações ocultas e os comandos e scripts usados no processo.
O documento completo, intitulado “Keeping PowerShell: Security Measures to Use and Embrace” está disponível aqui [PDF].
Fonte: bleepingcomputer