NSA เตือนถึงข้อผิดพลาดโง่ๆ ในการต่อสู้กับมัลแวร์ Windows

NSA เตือนถึงข้อผิดพลาดโง่ๆ ในการต่อสู้กับมัลแวร์ Windows

มักถูกใช้ในทางที่ผิดโดยแฮกเกอร์ที่แจกจ่ายมัลแวร์ (เปิดในแท็บใหม่) แพลตฟอร์มงานอัตโนมัติของ PowerShell ยังสามารถใช้สำหรับการตรวจจับและป้องกันการโจมตี นั่นคือคำแนะนำที่หน่วยงานความมั่นคงแห่งชาติสหรัฐ (NSA) มอบให้กับผู้ดูแลระบบทั่วโลกเมื่อเร็วๆ นี้

ร่วมกับศูนย์ความปลอดภัยทางไซเบอร์ในสหราชอาณาจักรและนิวซีแลนด์ NSA ได้ออกคำแนะนำด้านความปลอดภัยโดยระบุว่าการบล็อก PowerShell ซึ่งเป็นแนวทางปฏิบัติด้านความปลอดภัยทั่วไป จะลดความสามารถในการป้องกันขององค์กรต่อแรนซัมแวร์ (เปิดในแท็บใหม่) และรูปแบบอื่นๆ ของการโจมตีทางไซเบอร์

ผู้ดูแลระบบควรใช้ข้อมูลนี้เพื่อสนับสนุนการพิสูจน์หลักฐานและการตอบสนองต่อเหตุการณ์ เช่นเดียวกับการทำงานซ้ำๆ โดยอัตโนมัติให้ได้มากที่สุด

คำแนะนำมากมาย

"การบล็อก PowerShell ขัดขวางความสามารถในการป้องกันที่ PowerShell เวอร์ชันปัจจุบันสามารถจัดหาได้และป้องกันไม่ให้ส่วนประกอบของระบบปฏิบัติการ Windows ทำงานได้อย่างถูกต้อง PowerShell เวอร์ชันล่าสุดที่มีความสามารถและตัวเลือกขั้นสูงสามารถช่วยผู้ปกป้องต่อต้านการใช้ PowerShell ในทางที่ผิด" NSA กล่าว

คำแนะนำประกอบด้วยคำแนะนำหลายประการ รวมถึงการใช้ PowerShell remoting หรือการใช้โปรโตคอล Secure Shell (SSH) เพื่อปรับปรุงความปลอดภัยของการรับรองความถูกต้องของคีย์สาธารณะ

"การกำหนดค่า WDAC หรือ AppLocker อย่างถูกต้องใน Windows 10+ ช่วยป้องกันไม่ให้ผู้ประสงค์ร้ายเข้าควบคุมเซสชันและโฮสต์ของ PowerShell ได้อย่างเต็มที่" เอกสารอธิบาย

ผู้ดูแลระบบยังสามารถตรวจสอบจุดปลายของพวกเขาเพื่อหาสัญญาณของการละเมิด (เปิดในแท็บใหม่) โดยการบันทึกกิจกรรม PowerShell และบันทึกการตรวจสอบ

คำแนะนำยังแนะนำให้ผู้ดูแลระบบเปิดใช้งานคุณลักษณะต่างๆ เช่น การบันทึกบล็อกสคริปต์เชิงลึก การบันทึกโมดูล หรือการถอดความแบบ over-the-shoulder เนื่องจากก่อนหน้านี้สร้างฐานข้อมูลของบันทึก ซึ่งมีประโยชน์สำหรับการตรวจจับกิจกรรม PowerShell ที่ก้าวร้าว

หลังช่วยให้ผู้ดูแลระบบสามารถบันทึกอินพุตและเอาต์พุต PowerShell ทุกรายการ ทำให้ได้รับความเข้าใจที่ดีขึ้นเกี่ยวกับเป้าหมายของผู้โจมตี

"PowerShell เป็นสิ่งจำเป็นสำหรับการปกป้องระบบปฏิบัติการ Windows" NSA กล่าวสรุป พร้อมเสริมว่าด้วยการกำหนดค่าและการจัดการที่เหมาะสม มันสามารถเป็นเครื่องมือที่ยอดเยี่ยมสำหรับการบำรุงรักษาและรักษาความปลอดภัยระบบ

ผ่าน BleepingComputer (เปิดในแท็บใหม่)