Специалисты удаляют PowerShell из-за частых атак киберпреступников

Агентства кибербезопасности США, Новой Зеландии и Великобритании призвали сотрудников службы кибербезопасности не отключать и не удалять инструмент Microsoft PowerShell, который используется для автоматизации управления системами, но часто используется хакерами.

null

Агентства выпустили рекомендации по правильной настройке и контролю PowerShell. По словам агентства CISA, рекомендации помогут специалистам «выявлять и предотвращать злоупотребления со стороны злоумышленников, а также обеспечивать законное использование администраторами и защитниками».

АНБ заявило, что злоупотребление PowerShell заставило некоторые службы безопасности полностью удалить его. «Удаление или отключение PowerShell помешает администраторам использовать инструмент для помощи в обслуживании системы, криминалистике, автоматизации и безопасности. PowerShell, наряду с его административными возможностями и мерами безопасности, должен правильно управляться».

По словам исследователя из CardinalOps Фила Нерея, PowerShell является популярным методом атаки. Оболочка уже использовалась в кампаниях MetaSploit, Trickbot и Emotet, а также в атаках правительственных группировок (HAFNIUM и Lazarus Group). Нерей также отметил, что платформа MITRE ATT&CK имеет специальную технику использования PowerShell, которую можно реализовать.

«Без PowerShell невозможно управлять большой средой, поэтому важно реализовать ограничения безопасности, чтобы предотвратить неправильное использование инструмента. Почти каждая APT-группа использует PowerShell в цепочке атак», — сказал главный специалист по поиску угроз в Netenrich Джон Бамбенек.

PowerShell

Windows PowerShellэто новая оболочка командной строки на основе задач и языков сценариев. Она специально разработана для администрирования систем. Встроенная в .NET Framework, оболочка Windows PowerShell помогает ИТ-специалистам и опытным пользователям контролировать и автоматизировать процесс администрирования операционной системы Windows и приложений, работающих в системе Windows.

Используя оболочку Windows PowerShell, администраторы могут управлять системами с помощью отдельных команд или сценариев, автоматизирующих задачи управления. Exchange Server 2007, System Center Operations Manager 2007, System Center Data Protection Manager V2 и System Center Virtual Machine Manager используют оболочку Windows PowerShell для повышения эффективности и производительности.

Оболочка PowerShell — это интерактивный командный интерпретатор. С его помощью можно создавать сценарии, позволяющие администраторам автоматизировать управление системными задачами как на сервере, так и на других компьютерах сети. PowerShell позволяет управлять всей операционной системой и ее приложениями. Например, можно работать с реестром Windows как с обычной файловой системой.

Поделись с друзьями — нажми на одну из кнопок ниже!

Рекомендованные статьи

Добавить комментарий

© 2020 - 2022 «Типичный айтишник». Копирование и видоизменение материалов возможно только при наличии активной ссылки на типичный-айтишник.рф