网络专业人员如何优先考虑他们的安全工作?一个好的起点是准确了解威胁行为者使用的策略、技术和程序 (TTP)。在最近发布的一份报告中,汇总数据用于识别MITRE ATT&CK 框架定义的最常见的攻击技术。 研究表明,PowerShell 命令和脚本解释器是威胁行为者使用的第一大攻击技术。PowerShell是一种命令行 shell 和脚本语言,被系统管理员和安全专业人员广泛用于自动执行任务和管理系统。但威胁行为者也可以使用 PowerShell 在受感染的系统上执行恶意活动。 顶级攻击技术该报告从权威来源有力地展现了对手的活动。它汇集了 2020 年至 2022 年 M-Trends、Red Canary 威胁检测报告、CTID ATT&CK 目击生态系统和 CISA 警报的数据。 排在首位的技术是 PowerShell。根据该报告,破坏系统的攻击者有 28.49% 的可能性会启动 PowerShell 命令行实用程序。使用这种技术,参与者可以在整个网络中横向移动,并在受感染的机器上获得持久性。混淆文件和利用面向公众的应用程序在攻击者使用的主要技术列表中排名第二和第三。 Palo Alto Networks Unit 42最近报告称,勒索软件团伙 Vice Society 正在部署一种新的、复杂的 PowerShell 脚本攻击来自动窃取数据。Vice Society 的数据窃取器使用“依赖陆地”的二进制文件和脚本,不太可能触发安全警报。这使得攻击者更容易加密数据然后索要赎金。 攻击者如何使用 PowerShell?PowerShell 既是一种命令行 shell,也是一种可以在目标系统上执行命令和脚本的脚本语言。因此,PowerShell 网络攻击是一种命令和脚本解释器攻击。在这种类型的攻击中,黑客利用 Windows 内置的合法工具。 PowerShell 网络攻击通常涉及恶意行为,例如:
靠土地为生PowerShell 网络攻击被认为是一种靠土地生存 (LOTL)攻击。LOTL 攻击是指攻击者通过使用目标系统中已有的合法工具和功能来逃避检测的技术。LOTL 技术避免使用防病毒软件可以检测到的恶意软件。 PowerShell 是大多数 Windows 系统上已经存在的合法工具。它具有强大的功能,攻击者可以滥用这些功能来执行恶意活动。这样,攻击者就不必将任何其他恶意软件下载到受感染的系统上。 如何阻止 PowerShell 攻击有多种方法可以检测和防止 PowerShell 网络攻击:
行为分析与 PowerShell 攻击行为分析和异常检测也可以有效检测基于 PowerShell 的攻击。这些技术侧重于监视系统行为并检测与正常行为模式的偏差,这可以表明使用 PowerShell 的入侵者的存在。 行为分析涉及创建正常系统行为的基线并监视系统是否存在与该基线的任何偏差。这可能涉及监视用户活动、网络流量和系统进程,以检测可能表明攻击的异常行为。 异常检测涉及使用机器学习算法来检测系统上的异常活动。这些算法可以识别系统活动中的模式,并向安全团队发出任何与这些模式的偏差的警报。这可以帮助检测涉及异常系统活动模式的 PowerShell 网络攻击。 是否应该禁用 PowerShell?专家建议不要禁用 PowerShell,因为它是 Windows 的一个有用的命令行界面。根据美国国家安全局和 CISA 的联合建议,PowerShell 可以帮助进行取证、事件响应和自动化桌面任务。 美国国防部还建议不要删除 PowerShell。根据 DoD 的说法,阻止该接口会阻碍当前版本的 PowerShell 可以提供的防御功能。删除它还会阻止 Windows 组件正常运行。 虽然 PowerShell 是一个有用的工具,但它也是攻击者用来进行 LOTL 攻击的首要技术。组织应意识到与 PowerShell 相关的风险,并采取措施保护其系统免受此类攻击。 |
|