23/06/22
Агентства кибербезопасности США, Новой Зеландии и Великобритании призвали сотрудников службы кибербезопасности не отключать и не удалять инструмент Microsoft PowerShell, который используется для автоматизации управления системами, но часто используется хакерами.
Агентства выпустили рекомендации по правильной настройке и контролю PowerShell, сообщает Securitylab.
По словам агентства CISA , рекомендации помогут специалистам «выявлять и предотвращать злоупотребления со стороны злоумышленников, а также обеспечивать законное использование администраторами и защитниками».
АНБ заявило, что злоупотребление PowerShell заставило некоторые службы безопасности полностью удалить его. «Удаление или отключение PowerShell помешает администраторам использовать инструмент для помощи в обслуживании системы, криминалистике, автоматизации и безопасности. PowerShell, наряду с его административными возможностями и мерами безопасности, должен правильно управляться».
По словам исследователя из CardinalOps Фила Нерея, PowerShell является популярным методом атаки. Оболочка уже использовалась в кампаниях MetaSploit , Trickbot и Emotet , а также в атаках правительственных группировок ( HAFNIUM и Lazarus Group ). Нерей также отметил, что платформа MITRE ATT&CK имеет специальную технику использования PowerShell , которую можно реализовать.
«Без PowerShell невозможно управлять большой средой, поэтому важно реализовать ограничения безопасности, чтобы предотвратить неправильное использование инструмента. Почти каждая APT-группа использует PowerShell в цепочке атак», - сказал главный специалист по поиску угроз в Netenrich Джон Бамбенек.
