Kötü amaçlı yazılım dağıtan tehdit aktörleri tarafından sıklıkla kötüye kullanılan görev otomasyon platformu PowerShell (yeni sekmede açılır), saldırı tespiti ve önlenmesi için de kullanılabilir. Bu, ABD Ulusal Güvenlik Ajansı’nın (NSA) son zamanlarda her yerdeki sistem yöneticilerine verdiği tavsiyedir.
Birleşik Krallık ve Yeni Zelanda’daki siber güvenlik merkezlerinin yanı sıra NSA, ortak bir güvenlik uygulaması olan PowerShell’i engellemenin, kuruluşların fidye yazılımlarına karşı savunma yeteneklerini azalttığını savunan bir güvenlik tavsiyesi yayınladı. (yeni sekmede açılır) ve diğer siber saldırı biçimleri.
Bunun yerine, sistem yöneticileri, adli tıp ve olay yanıtlarını artırmak ve mümkün olduğunca çok sayıda tekrarlayan görevi otomatikleştirmek için bunu kullanmalıdır.
Çok sayıda öneri
“PowerShell’i engellemek, PowerShell’in mevcut sürümlerinin sağlayabileceği savunma yeteneklerini engeller ve Windows işletim sistemi bileşenlerinin düzgün çalışmasını engeller. Gelişmiş yeteneklere ve seçeneklere sahip PowerShell’in son sürümleri, savunuculara PowerShell’in kötüye kullanılmasına karşı koymada yardımcı olabilir, “diye belirtti NSA.
Danışmanlık, PowerShell uzaktan iletişiminden yararlanma veya ortak anahtar kimlik doğrulamasının güvenliğini artırmak için Güvenli Kabuk protokolünü (SSH) kullanma gibi bir dizi öneriyle birlikte gelir.
Belge, “Windows 10+ üzerinde WDAC veya AppLocker’ın doğru şekilde yapılandırılması, kötü niyetli bir aktörün bir PowerShell oturumu ve ana bilgisayar üzerinde tam kontrol sahibi olmasını önlemeye yardımcı olur” dedi.
Sistem yöneticileri ayrıca uç noktalarında kötüye kullanım belirtileri arayabilir (yeni sekmede açılır) PowerShell etkinliğini kaydederek ve günlükleri izleyerek.
Danışmanlık ayrıca, yöneticilerin, agresif PowerShell etkinliğini tespit etmek için kullanışlı bir günlük veritabanı oluşturduğundan, Derin Komut Dosyası Bloğu Günlüğü, Modül Günlüğü veya Omuz Üstü Transkripsiyon gibi özellikleri açmalarını önerir.
İkincisi, yöneticilerin her PowerShell girişini ve çıkışını kaydetmesine izin vererek saldırganların hedeflerini daha iyi anlamasını sağlar.
NSA, “PowerShell, Windows işletim sisteminin güvenliğini sağlamak için çok önemlidir” diyerek, uygun yapılandırma ve yönetim ile sistem bakımı ve güvenliği için harika bir araç olabileceğini de sözlerine ekledi.
Aracılığıyla BleeBilgisayar (yeni sekmede açılır)
