Evading Antivirus Detection With Powershell - Pentesting
Innehållsförteckning:
Microsoft utvecklade Windows PowerShell för uppgiftsautomatisering och konfigurationshantering. Det är baserat på.NET-ramverket; medan det innehåller ett kommandoradsskal och ett skriptspråk. Det hjälper inte användarna att automatisera, men det löser också snabbt de komplicerade administrationsuppgifterna. Trots detta tror många användare ofta att PowerShell är ett verktyg som används av hackare för säkerhetsbrott. Tyvärr är det sant att PowerShell används i stor utsträckning för säkerhetsbrott. På grund av detta avaktiverar användare med mindre eller ingen teknisk kunskap PowerShell ofta. Men realiteten är att PowerShell Security-tillvägagångssättet kan ge bästa skydd mot säkerhetsbrott på företagsnivå.
David Fields, Premier Field Engineer för Microsoft Germany nämner i ett av hans inlägg att PowerShell Security-strategin är ett kraftfullt sätt att ställa in säkerheten på företagsnivå. Faktum är att PowerShell är ett av de mest använda språken på GitHub, enligt Programmeringstals Ranking-diagram som skapats av RedMonk.
Läs : Förstå PowerShell-säkerhet.
Windows PowerShell Security på företagsnivå
Innan du ställer in Windows PowerShell Security, det är nödvändigt att veta grunderna i den. Användare måste använda den senaste versionen av Windows PowerShell; dvs PowerShell Version 5 eller WMP 5.1. Med WMF 5.1 kan användare enkelt uppdatera PowerShell-versionen på sina befintliga maskiner, inklusive Windows 7. Faktum är att de som använder Windows 7 eller ens har de på sina nätverk måste ha WMP 5.1 och PowerShell 5. Det beror på att en angripare endast behöver en dator för att initiera attacken.
Användaren måste notera här att PowerShell Security måste ställas in med den senaste versionen av Windows PowerShell. Om det är en lägre version (som PowerShell Version 2) kan det göra mer skada än bra. Därför rekommenderas att användarna måste bli av med PowerShell version 2.
Förutom den senaste versionen av Windows PowerShell måste användarna också välja den senaste versionen av operativsystemet. För att ställa in PowerShell Security är Windows 10 det mest kompatibla operativsystemet. Windows 10 har många säkerhetsfunktioner. Därför rekommenderas att användare ska migrera sina äldre Windows-maskiner till Windows 10 och utvärdera alla säkerhetsfunktioner som kan användas.
ExecutionPolicy: Många användare väljer inte PowerShell Security-tillvägagångssätt och använder ExecutionPolicy som en säkerhetsgräns. Men som David nämner i hans inlägg finns det över 20 sätt att överträffa ExecutionPolicy även som en vanlig användare. Därför bör användarna ställa in det via GPO som RemoteSigned. ExecutionPolicy kan förhindra att hackare använder PowerShell-skript från internet, men det är inte helt tillförlitlig säkerhetsinställning.
Faktorer som ska övervägas i PowerShell Security-tillvägagångssätt
David nämner alla viktiga faktorer som ska beaktas när du installerar PowerShell Security på företagsnivån. Några av de faktorer som omfattas av David är följande:
- PowerShell Remoting
- Säkra Privileged Access
- Modernisering av miljön
- Whitelisting / Signing / ConstrainedLanguage / Applocker / Device Guard
- Logging
- ScriptBlockLogging
- Utökad loggning / WEF och JEA
För mer och detaljerad information om installationen av PowerShell Security, läs sitt inlägg på MSDN Blogs.
Allvarliga geeks spenderar mycket tid på kommandoraden. Men Windows antika kommandoraden ändras inte ens på rätt sätt, och det tar ett muskommando att klistra in i (att slå Ctrl + V kommer bara att resultera i att ^ V skrivs ut). Microsofts svar på detta är PowerShell, en alternativ kommandoprocessor som är buntad med Windows från XP SP2 till Windows 8. PowerShell kan göra många saker och dess standardkonsolprogram är också en förbättring eftersom du kan ändra storlek på det, men du kan fortfara
Take Command tar en kraftfull, men enkel kommandoförädling och gifter den med ett vackert modernt gränssnitt, för ett resultat som lämnar standard Windows gränssnitt år bakom. Kommandotillverkaren, TCC, är en superset av den som är inbyggd i Windows. Så, dir är fortfarande dir, och del är fortfarande del, och allt du redan vet om att arbeta i kommandoraden är fortfarande giltigt. Men det finns många extra kommandon, och även de befintliga kommandon får växlar i TCC, deras cmd.exe motsvarigheter
Skulle det inte vara trevligt om din bil kunde betjänas själv? Det är rätt att tänka på att köra upp till ett hotell eller restaurang, gå ut ur din bil och trycka på en knapp. Din bil skulle rulla upp sina fönster och köra av för att hitta en tillgänglig parkeringsplats och parkera sig själv. Sedan när du behövde din bil igen kunde du bara trycka på en annan knapp och det skulle lämna sin parkeringsplats och köra till var du befinner dig.
Bilhandlare arbetar redan med denna typ av mindre intensiv automatiserad körning. Audi's proof-of-concept bil är inte riktigt Googles självkörande fordon. Det finns ingen LIDAR-laser på taket, och det kan inte köra hundratusentals mil utan mänsklig interaktion (ännu). Men den här bilen kan driva sig in i en parkeringsplats, parkera sig själv och köra tillbaka för att möta dig med en smartphone-knapps press.
Vad gör du när du byter dator på första gången på morgonen? Jag slår vad om att du öppnar samma webbläsare, öppnar samma webbsidor (email, Facebook, nyheter) och startar samma programvara. Vi är ju alla varelser av vana. Att öppna upp alla dessa saker tar dock tid och ansträngning. Skulle du inte föredra din dator att göra allt detta för dig, när du kommer tillbaka till ditt skrivbord med en kopp kaffe? Om så är fallet kommer den fria AutoStarter X3 att vara av intresse för dig.
AutoStarter X3 är en snygg liten app som låter dig göra vad som kallas en batchfil (bat). Batchfiler är textfiler med en lista med kommandon för din dator för att göra vissa saker. Du kan dubbelklicka på dem för att kommandona ska utföras omedelbart, eller du kan placera dem i Windows-startmenyn för att batchfilerna ska utföras under Windows-uppstartsprocessen.