Исследователи выступили против удаления Microsoft PowerShell

Исследователи выступили против удаления Microsoft PowerShell

Специалисты удаляют PowerShell из-за частых атак киберпреступников

Агентства кибербезопасности США, Новой Зеландии и Великобритании призвали сотрудников службы кибербезопасности не отключать и не удалять инструмент Microsoft PowerShell, который используется для автоматизации управления системами, но часто используется хакерами. Агентства выпустили рекомендации по правильной настройке и контролю PowerShell .

По словам агентства CISA , рекомендации помогут специалистам «выявлять и предотвращать злоупотребления со стороны злоумышленников, а также обеспечивать законное использование администраторами и защитниками».

АНБ заявило , что злоупотребление PowerShell заставило некоторые службы безопасности полностью удалить его. «Удаление или отключение PowerShell помешает администраторам использовать инструмент для помощи в обслуживании системы, криминалистике, автоматизации и безопасности. PowerShell, наряду с его административными возможностями и мерами безопасности, должен правильно управляться».

По словам исследователя из CardinalOps Фила Нерея, PowerShell является популярным методом атаки. Оболочка уже использовалась в кампаниях MetaSploit , Trickbot и Emotet , а также в атаках правительственных группировок ( HAFNIUM и Lazarus Group ). Нерей также отметил, что платформа MITRE ATT&CK имеет специальную технику использования PowerShell , которую можно реализовать.

«Без PowerShell невозможно управлять большой средой, поэтому важно реализовать ограничения безопасности, чтобы предотвратить неправильное использование инструмента. Почти каждая APT-группа использует PowerShell в цепочке атак», - сказал главный специалист по поиску угроз в Netenrich Джон Бамбенек.

Бэкап знаний создан успешно!

Храним важное в надежном месте

Синхронизируйтесь — подпишитесь