RSAC16:微软的Windows PowerShell完全武器,安全专家警告
调查表明,缺乏安全知识限制的业务举措
莫尔登最吝啬的宽带速度,报告索赔
律师事务所将大型球员扼杀,用于大型融合
尽管安全支出,CIO承认他们对网络威胁盲目
我们越来越靠近自动驾驶汽车
苏格兰边界与CGI签署了9200万英镑的数字服务合同
网络专家说,监视不需要批量数据收集
Gartner在最后阶段的BI Market中表示,售价16.9亿美元的市场向业务转移
Bromley委员会与BT签署900万英镑的桌面和数据中心合同
三名主席承诺在O2合并后的五年价格冻结
警方在过时的IT系统上花费太多,Theresa可能会说
以色列高科技创业公司寻求英国资​​金
澳大利亚C-Suite高管无法认真对待安全
报告说,Volte呼叫尚未与2G或3G可靠
政府采购首席莎莉·煤矿,旨在离开皇冠商业服务
随着网络犯罪的增加,IT安全薪水增加
媒体和营销行业关于数字技能的景观
伦敦人领导移动银行交换机
全国各地的五名地方当局同意共享服务合同
新的光学接收器技术可能会削减FTTP的成本
爱尔兰地点被DDOS袭击落下
Techuk挑选网络威胁情报
BSI表示,大数据需求标准带来经济利益
卫星数据链接将迄今为止带来欧洲空中交通管理
CIO采访:约翰群岛,比利时
AWS削减了学术和研究用户组的云数据传输费用
Gartner警告IT领导人关于使用私人平台作为服务的危险
Gartner建议CDOS关于如何克服它的抵抗力
Oracle用泥泞的扩张捏掉了英国云战略
数字部长Matt Hancock呼吁南威尔士州的大数据挖掘复合体
Assa Abloy Outsouts It转变为Wipro
在印度尼西亚的映射技术转向智能城市
Great Ormond Street NHS NHS为EPR和研究平台狩猎,价值高达5000万英镑
印度供应商正在挖掘北欧业务
伦敦心理健康信任医生使用Skype进行患者咨询
政府承认Altnets可以在农村地区对抗BT
奥巴马网络安全预算不足,说批评者
议员应创造一个数字服务标准,说内阁办公室部长Matt Hancock
东南亚致力于增长强劲
自动化的财务咨询服务导致RBS失业损失
Informatica推出大数据管理平台
主要网络攻击的高度警报金融机构
DHL亚太创新中心孵化未来物流技术
Apple警告倾向,因为它邮寄了季度
法院规则康沃尔议会可以终止BT外包交易
2015年十大业务应用程序故事
三星同意支付54800万美元来解决苹果争议
Raytheon-Websense表示,网络保险可能会推动更好的安全性
研究表明,在今年的利润术语中播出了Amazon.com
您的位置:首页 >电子新品 >

RSAC16:微软的Windows PowerShell完全武器,安全专家警告

2021-06-10 15:44:05 [来源]:

在过去的一年中,Microsoft的Windows PowerShell配置管理框架已完全武器,警告安全专家和Sans Institute教练Ed Skoudis。

“在过去的一年里,一直宣布了一个名为PowerShell帝国的项目。太棒了。如果您进行笔测试或红色组合甚至漏洞评估,我敦促您下载PowerShell帝国并查看它,“他在旧金山告诉RSA会议2016年。

具有讽刺意味的是,这种开源安全工具可用于免费下载,对攻击者来说,Skoudis表示,Skoudis表示为“攻击Windows环境”和“剥离后的”流域工具“语言“是”建造和优化的攻击“。

Powershell Empire的目标是展示攻击者可以用PowerShell的全部力量来做,但它包括一个具有各种各样的功能的“强大的代理商”,攻击者可以用来利用PowerShell,这已经建成了每个版本的Windows中八年来,Skoudis说。

“代理允许遥控器,它使用户能够突出手机回馈给您,它与操作具有很大的集成,因此您可以在要删除操作时可以说出,并且您可以在一天中设置一天的时间你希望代理人是活跃的,“他说。

PowerShell Empire代理使用PowerShell将加载到内存中而不触摸盘,表示Skoudis,使其无法通过防病毒和其他安全控制来检测。

该代理还包括权限升级功能,使用户能够在不升级的系统特权上获取完整的系统权限和持久性机制,以帮助维护对已泄露的系统的访问权限。

“这是计算机攻击者非常方便,灵活的工具,”Skoudis指的是PowerShell Empire的功能,使用户能够标记会话,使得集成到攻击者操作中更容易,因为所有受损的会话都很容易识别使用描述性标签。

鉴于PowerShell已完全武器,Skoudis表示,捍卫者不应依赖其有限的执行政策。

虽然PowerShell旨在限制用户可以写入以防止意外损坏的脚本,但Skoudis表示这不是一个安全功能,因为任何脚本都可用于关闭默认的受限执行策略以允许执行任何脚本。

微软已经回应了PowerShell Byding功能的武器化在Windows 10中的PowerShell 5,以减少攻击者对PowerShell的开发。

“PowerShell 5将记录通过管道传递的所有物品,并将记录脚本块内发生的事情,并且对于Windows 10,它具有与antimalware的集成,因此无论antimalware到位,PowerShell都可以在执行之前对antimalware进行调用脚本,“Skoudis说。

“PowerShell 5还有一个被称为”受限模式“的东西,它与Applocker集成了PowerShell,几乎给出了PowerShell脚本的白名单,但即使使用这个东西在Windows 10和PowerShell 5中,攻击者仍然有三到五年不受约束的PowerShell访问。“

他说,事情朝着正确的方向发展,但直到他们可以完全部署,仍然会使用PowerShell攻击,这是一个捍卫者应该知道,应该旨在作为他们信息安全战略的一部分。

Skoudis和Sans Institute的一些同事强调了他们预计信息安全专业人员在来年面临的其他挑战,包括:

扩大攻击的趋势,超出目标可识别的信息,包括其他信息,例如联系人列表。攻击者利用Android中的糟糕修补实践的趋势来利用核心库文件中的STAYFIGHT漏洞的系统级漏洞操作系统的攻击者在Xcode Ghost等开发者环境中创建遗漏潜力的趋势,它创建和分发了一个具有后门的Apple Xcode开发环境。攻击者在工业控制系统中利用漏洞的趋势,导致乌克兰看到的电力故障2015年12月23日。瞄准内部和商业软件开发人员使用的不安全的第三方软件组件的趋势。攻击者探讨互联网互联网脆弱性的趋势(IOT)寻求利用嵌入式设备的盈利方式加密组织数据USI的迅速增加趋势NG恶意软件称为勒索软件和要求赎金的返回用于解密密钥。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。