Исследователи выступили против удаления Microsoft PowerShell

Чт 23 Июнь 2022 10:24

Агентства кибербезопасности США, Новой Зеландии и Великобритании призвали сотрудников службы кибербезопасности не отключать и не удалять инструмент Microsoft PowerShell, который используется для автоматизации управления системами, но часто используется хакерами. Агентства выпустили рекомендации по правильной настройке и контролю PowerShell .

По словам агентства CISA , рекомендации помогут специалистам «выявлять и предотвращать злоупотребления со стороны злоумышленников, а также обеспечивать законное использование администраторами и защитниками».

АНБ заявило , что злоупотребление PowerShell заставило некоторые службы безопасности полностью удалить его. «Удаление или отключение PowerShell помешает администраторам использовать инструмент для помощи в обслуживании системы, криминалистике, автоматизации и безопасности. PowerShell, наряду с его административными возможностями и мерами безопасности, должен правильно управляться».

По словам исследователя из CardinalOps Фила Нерея, PowerShell является популярным методом атаки. Оболочка уже использовалась в кампаниях MetaSploit , Trickbot и Emotet , а также в атаках правительственных группировок ( HAFNIUM и Lazarus Group ). Нерей также отметил, что платформа MITRE ATT&CK имеет специальную технику использования PowerShell , которую можно реализовать.

«Без PowerShell невозможно управлять большой средой, поэтому важно реализовать ограничения безопасности, чтобы предотвратить неправильное использование инструмента. Почти каждая APT-группа использует PowerShell в цепочке атак», - сказалглавный специалист по поиску угроз в Netenrich Джон Бамбенек.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 94 дня 11 часов 39 минут 49 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.