Plataforma de automatización de tareas PowerShell, de la que a menudo abusan los actores de amenazas que distribuyen malware, también se puede utilizar para la detección y prevención de ataques. Este es el consejo que la Agencia de Seguridad Nacional de EE. UU. (NSA) dio recientemente a los administradores de sistemas de todo el mundo.
En su lugar, los administradores del sistema deberían usarlo para mejorar su análisis forense y la respuesta a incidentes, así como para automatizar tantas tareas repetitivas como sea posible.
Numerosas recomendaciones
“El bloqueo de PowerShell dificulta las capacidades defensivas que pueden proporcionar las versiones actuales de PowerShell y evita que los componentes del sistema operativo Windows funcionen correctamente. Las versiones recientes de PowerShell con capacidades y opciones mejoradas pueden ayudar a los defensores a contrarrestar el abuso de PowerShell”, afirmó la NSA.
El aviso viene con una serie de recomendaciones, incluido el aprovechamiento de la comunicación remota de PowerShell o el uso del protocolo Secure Shell (SSH) para mejorar la seguridad de la autenticación de clave pública.
“La configuración adecuada de WDAC o AppLocker en Windows 10+ ayuda a evitar que un actor malicioso obtenga el control total sobre una sesión de PowerShell y el host”, explica el documento.
Los administradores del sistema también pueden buscar señales de abuso en sus puntos finales registrando la actividad de PowerShell y los registros de monitoreo.
El aviso también recomienda que los administradores activen funciones como el registro profundo de bloques de scripts, el registro de módulos o la transcripción por encima del hombro, ya que los primeros crean un registro. base de datos útil para detectar actividad agresiva de PowerShell.
Este último permite a los administradores registrar cada entrada y salida de PowerShell, obteniendo una mejor comprensión de los objetivos de los atacantes.
“PowerShell es esencial para proteger el sistema operativo Windows”, concluyó la NSA, y agregó que, con una configuración y administración adecuadas, puede ser una gran herramienta para el mantenimiento y la seguridad del sistema.