A Agência de Segurança Nacional (NSA) e agências parceiras de segurança cibernética emitiram um comunicado hoje recomendando que os administradores de sistema usem o PowerShell para prevenir e detectar atividades maliciosas em máquinas Windows.
O PowerShell é frequentemente usado em ataques cibernéticos, aproveitados principalmente no estágio pós-exploração, mas os recursos de segurança incorporados à ferramenta de automação e configuração da Microsoft também podem beneficiar os defensores em seus esforços forenses, melhorar a resposta a incidentes e automatizar tarefas repetitivas.
A NSA e os centros de segurança cibernética nos EUA (CISA), Nova Zelândia (NZ NCSC) e Reino Unido (NCSC-UK) criaram um conjunto de recomendações para usar o PowerShell para mitigar ameaças cibernéticas em vez de removê-lo ou desativá-lo, o que menor capacidade defensiva.
“O bloqueio do PowerShell dificulta os recursos defensivos que as versões atuais do PowerShell podem fornecer e impede que os componentes do sistema operacional Windows sejam executados corretamente. Versões recentes do PowerShell com recursos e opções aprimorados podem ajudar os defensores a combater o abuso do PowerShell”
Menor risco de abuso
Reduzir o risco de os agentes de ameaças abusarem do PowerShell requer o aproveitamento de recursos na estrutura, como a comunicação remota do PowerShell, que não expõe credenciais de texto simples ao executar comandos remotamente em hosts Windows.
Os administradores devem estar cientes de que habilitar esse recurso em redes privadas adiciona automaticamente uma nova regra no Firewall do Windows que permite todas as conexões.
Personalizar o Firewall do Windows para permitir conexões apenas de pontos de extremidade e redes confiáveis ajuda a reduzir a chance de um invasor obter um movimento lateral bem-sucedido.
Para conexões remotas, as agências aconselham o uso do protocolo Secure Shell (SSH), suportado no PowerShell 7, para adicionar a conveniência e a segurança da autenticação de chave pública:
conexões remotas não precisam de HTTPS com certificados SSL
não há necessidade de hosts confiáveis, conforme necessário ao se comunicar remotamente pelo WinRM fora de um domínio
gerenciamento remoto seguro por SSH sem senha para todos os comandos e conexões
Comunicação remota do PowerShell entre hosts Windows e Linux
Outra recomendação é reduzir as operações do PowerShell com a ajuda do AppLocker ou do Windows Defender Application Control (WDAC) para definir a ferramenta para funcionar no Modo de Linguagem Restrita (CLM), negando assim operações fora das políticas definidas pelo administrador.
“A configuração adequada do WDAC ou AppLocker no Windows 10+ ajuda a impedir que um agente mal-intencionado obtenha controle total sobre uma sessão do PowerShell e o host”
Detectando o uso malicioso do PowerShell
Gravar a atividade do PowerShell e monitorar os logs são duas recomendações que podem ajudar os administradores a encontrar sinais de possível abuso.
A NSA e seus parceiros propõem ativar recursos como Deep Script Block Logging (DSBL), Module Logging e Over-the-Shoulder transcription (OTS).
Os dois primeiros permitem a criação de um banco de dados abrangente de logs que pode ser usado para procurar atividades suspeitas ou maliciosas do PowerShell, incluindo ações ocultas e os comandos e scripts usados no processo.
Com o OTS, os administradores obtêm registros de cada entrada ou saída do PowerShell, o que pode ajudar a determinar as intenções de um invasor no ambiente.
Os administradores podem usar a tabela abaixo para verificar os recursos que várias versões do PowerShell fornecem para ajudar a habilitar melhores defesas em seu ambiente:
Recursos de segurança presentes nas versões do PowerShell
O documento que a NSA divulgou hoje afirma que “o PowerShell é essencial para proteger o sistema operacional Windows”, particularmente as versões mais recentes que lidaram com limitações anteriores.
Quando configurado e gerenciado adequadamente, o PowerShell pode ser uma ferramenta confiável para manutenção do sistema, análise forense, automação e segurança.
O documento completo, intitulado “Manter o PowerShell: Medidas de segurança para usar e adotar” está disponível aqui [PDF].
Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/nsa-shares-tips-on-securing-windows-devices-with-powershell/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
Postar um comentário