El lenguaje de scripting de fuente abierta, es la herramienta de movimiento lateral perfecta para los atacantes una vez que han comprometido una red. Y los scripts de PowerShell pueden ejecutarse solo en la memoria, dando lugar al término malware “sin archivos”.
“El lenguaje de scripting PowerShell de Microsoft, es extremadamente popular entre los administradores de TI. Pero los hackers también lo están tomando cada vez más”, comenta un experto en seguridad cibernética, “los scripts maliciosos de PowerShell pueden ser difíciles de detectar y aun más difíciles de investigar porque dejan pocos rastros forenses”.
“PowerShell es tan poderoso y versátil en el sentido de que tiene acceso al framework .NET, acceso a WMI, acceso a prácticamente cualquier parte de la máquina”, dice Arafeh, refiriéndose a Windows Management Instrumentation, la infraestructura para datos de gestión y operaciones en sistemas operativos basados en Windows.
Microsoft ha estado trabajando en una variedad de tecnologías de seguridad de datos que ayudan a los administradores a detener el abuso de PowerShell, presenta tres herramientas esenciales para ayudar a prevenir estos ataques. El objetivo es reducir la capacidad de los atacantes de doblar las herramientas legítimas para fines maliciosos.
Modo de lenguaje restringido
Los administradores pueden establecer la función de idioma restringido de PowerShell, que corta las acciones potencialmente peligrosas, como invocar API de Windows arbitrarias. Pero eso no impide que los atacantes inicien otra instancia de PowerShell con todas las capacidades de idioma.
La solución de Microsoft es que el modo de idioma restringido se use con un software de control de aplicaciones. De esta forma, cuando PowerShell detecta una política UMCI, permanecerá en modo de idioma restringido.
“Estas políticas de bloqueo son importantes para los sistemas de alto valor que deben protegerse contra administradores maliciosos o credenciales de administrador comprometidas”, según una publicación de Microsoft. “Con una política aplicada, incluso los administradores están limitados a lo que pueden hacer en el sistema.”
Registro profundo
La función registrará todas las secuencias de comandos de bloques que procesa PowerShell, incluidas aquellas que emplean la generación de código dinámico, que puede ser un intento de evadir la detección.
De manera predeterminada, PowerShell graba bloques de script la primera vez que se usa uno, pero se puede configurar para que se grabe cada vez que se ejecute el mismo. Eso puede conducir a un registro voluminoso de eventos, por lo que has sido advertido. Pero los registros posteriores podrían proporcionar cierto alcance en torno a lo que intentaban hacer los atacantes.
Un profesional de seguridad cibernética nos dice que; la mayoría de las empresas solo se dan cuenta de la necesidad de habilitar el registro de secuencias de comandos después de que sea demasiado tarde, pero, PowerShell registra automáticamente bloques de scripts cuando tienen contenido utilizado a menudo por scripts maliciosos. Este registro de bloques de scripts automáticos no tiene como objetivo reemplazar el registro de bloqueo de scripts o antivirus, solo sirve como un último recurso.
Interfaz de exploración Anti-Malware
En Windows 10, Microsoft agregó una función de seguridad de datos llamada Interfaz de escaneo anti-malware, o AMSI, que tiene la intención de ayudar a desenrollar y analizar las secuencias de comandos enmascaradas o cifradas.
Codificar los guiones es una de las formas en que los atacantes esperan que su código no sea atrapado. Pero al final de la línea, las secuencias de comandos ofuscadas deben desenredarse para que se ejecuten en el motor de scripts.
Las aplicaciones pueden llamar a la API de AMSI para verificar el script de PowerShell. Proveedores de antivirus también aprovechan AMSI, Microsoft lo usa en varios productos, incluyendo Windows Defender AV y Windows Defender EDR, es una herramienta de seguridad de datos posterior a la explotación para explorar ataques que inicialmente no fueron detectados.
“Mientras el anti-malware pueda usar AMSI para mirar el contenido del script, entonces usted tiene la capacidad de aprender sobre lo que está haciendo el script y bloquear cualquier comportamiento malicioso”, dice Arafeh.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad