RSAC16:微软的Windows PowerShell完全武器,安全专家警告
在过去的一年中,Microsoft的Windows PowerShell配置管理框架已完全武器,警告安全专家和Sans Institute教练Ed Skoudis。
“在过去的一年里,一直宣布了一个名为PowerShell帝国的项目。太棒了。如果您进行笔测试或红色组合甚至漏洞评估,我敦促您下载PowerShell帝国并查看它,“他在旧金山告诉RSA会议2016年。
具有讽刺意味的是,这种开源安全工具可用于免费下载,对攻击者来说,Skoudis表示,Skoudis表示为“攻击Windows环境”和“剥离后的”流域工具“语言“是”建造和优化的攻击“。
Powershell Empire的目标是展示攻击者可以用PowerShell的全部力量来做,但它包括一个具有各种各样的功能的“强大的代理商”,攻击者可以用来利用PowerShell,这已经建成了每个版本的Windows中八年来,Skoudis说。
“代理允许遥控器,它使用户能够突出手机回馈给您,它与操作具有很大的集成,因此您可以在要删除操作时可以说出,并且您可以在一天中设置一天的时间你希望代理人是活跃的,“他说。
PowerShell Empire代理使用PowerShell将加载到内存中而不触摸盘,表示Skoudis,使其无法通过防病毒和其他安全控制来检测。
该代理还包括权限升级功能,使用户能够在不升级的系统特权上获取完整的系统权限和持久性机制,以帮助维护对已泄露的系统的访问权限。
“这是计算机攻击者非常方便,灵活的工具,”Skoudis指的是PowerShell Empire的功能,使用户能够标记会话,使得集成到攻击者操作中更容易,因为所有受损的会话都很容易识别使用描述性标签。
鉴于PowerShell已完全武器,Skoudis表示,捍卫者不应依赖其有限的执行政策。
虽然PowerShell旨在限制用户可以写入以防止意外损坏的脚本,但Skoudis表示这不是一个安全功能,因为任何脚本都可用于关闭默认的受限执行策略以允许执行任何脚本。
微软已经回应了PowerShell Byding功能的武器化在Windows 10中的PowerShell 5,以减少攻击者对PowerShell的开发。
“PowerShell 5将记录通过管道传递的所有物品,并将记录脚本块内发生的事情,并且对于Windows 10,它具有与antimalware的集成,因此无论antimalware到位,PowerShell都可以在执行之前对antimalware进行调用脚本,“Skoudis说。
“PowerShell 5还有一个被称为”受限模式“的东西,它与Applocker集成了PowerShell,几乎给出了PowerShell脚本的白名单,但即使使用这个东西在Windows 10和PowerShell 5中,攻击者仍然有三到五年不受约束的PowerShell访问。“
他说,事情朝着正确的方向发展,但直到他们可以完全部署,仍然会使用PowerShell攻击,这是一个捍卫者应该知道,应该旨在作为他们信息安全战略的一部分。
Skoudis和Sans Institute的一些同事强调了他们预计信息安全专业人员在来年面临的其他挑战,包括:
扩大攻击的趋势,超出目标可识别的信息,包括其他信息,例如联系人列表。攻击者利用Android中的糟糕修补实践的趋势来利用核心库文件中的STAYFIGHT漏洞的系统级漏洞操作系统的攻击者在Xcode Ghost等开发者环境中创建遗漏潜力的趋势,它创建和分发了一个具有后门的Apple Xcode开发环境。攻击者在工业控制系统中利用漏洞的趋势,导致乌克兰看到的电力故障2015年12月23日。瞄准内部和商业软件开发人员使用的不安全的第三方软件组件的趋势。攻击者探讨互联网互联网脆弱性的趋势(IOT)寻求利用嵌入式设备的盈利方式加密组织数据USI的迅速增加趋势NG恶意软件称为勒索软件和要求赎金的返回用于解密密钥。