Эта статья является частью серии «Отключение PowerShell и другие способы борьбы с Malware».

Смотрите также:

• Часть I
• Часть II
• Часть III

Список разрешенных приложений – это вам не шутки. Сперва, придется начать с чистого листа, а затем осторожно добавлять туда безопасные приложения, которые вы знаете и доверяете. Это то, с чего мы начали развивать идею политик ограниченного использования программ (SRP) в прошлой раз.

Кажется не так давно это было, примерно в 2015 году, мы начали слышать о хакерах, не использовавших вредоносных программ внутри периметра атакуемой цели. А использовали они то, что было под рукой – это были различные инструменты, находившиеся на целевом сайте. Это оказалось идеальным способом, чтобы сделать свое «грязное дело» не поднимая лишнего «шума».

Этот подход в наше время набрал обороты и стал мейнстримом, в первую очередь из-за обилия готовых инструментариев хакеров, таких как PowerShell Empire.

Изучить основы PowerShell

Данная статья представляет собой текстовую версию урока из нашего бесплатного видеокурса PowerShell и Основы Active Directory (для получения полного доступа используйте секретное слово «blog»).

Данный видеокурс оказался необычайно популярным по всему миру и он проведет вас по всем ступеням для создания полного набора инструментов по управлению службой каталогов Active Directory начиная с самых азов.

В течение последних 10 лет центры оперативного управления информационной безопасности (Security Operation Center, SOC) и аналитики оперировали такими понятиями как индикаторы компрометации (Indicators of Compromise, IoC), сигнатуры, пороговые (threshold-based) признаки проникновения или попыток проникновения в попытке угнаться за темпом постоянно меняющихся угроз. Это было проигрышное противостояние.

Несколько месяцев тому назад я приступил к решению одной задачи. Я решил доказать, что PowerShell может использоваться как инструмент контроля безопасности. Я закончил работу над своей публикацией, в которой описывается код PowerShell, позволяющий собирать события файловой системы, выполнять некоторые базовые функции анализа, а затем выводить результаты в графическом формате. Возможно, моя платформа безопасности с использованием скриптов (Security Scripting Platform; SSP) не является минимально жизнеспособным продуктом, но она, как мне кажется, полезна в качестве простого инструмента контроля для одиночного каталога файлов.

В предыдущей заметке этой серии я предложил возможность объединения моих отдельных скриптов — один для обработки событий, другой для классификации — в одну систему. Не замахнуться ли на платформу безопасности на основе одного кода PowerShell?

Проработав некоторые детали, в основном относящиеся к зубодробительным событиям PowerShell, я смог заявить о своей победе и зарегистрировал патент на платформу безопасности на базе скриптов — SSP (Security Scripting Platform ).

Последний раз с помощью нескольких строк кода PowerShell я запустил совершенно новую категорию программного обеспечения — анализ доступа к файлам. Мои 15 минут славы почти закончились, но я смог отметить, что PowerShell предоставляет практические возможности для мониторинга событий доступа к файлам. В этой заметке я завершу работу над инструментом анализа доступа к файлам и перейду к классификации данных PowerShell.

Следом за массивными атаками WannaCry в прошлом месяце в настоящее время развивается крупный инцидент с программой-шантажистом, получившей название NotPetya. Утром исследователи предполагали, что эта программа является вариантом вируса-шантажиста Petya, но Kaspersky Labs и другие компании сообщили, что несмотря на их схожесть, на самом деле это #NotPetya. Независимо от его имени, вот что следует знать.

Эта вредоносная программа не просто шифрует данные для требования выкупа, но и захватывает компьютеры и полностью закрывает доступ к ним путем шифрования основной загрузочной записи.

При работе над этой серией статей я почти поверил, что с PowerShell у нас появилась технология, которая непонятным образом попала к нам из будущего. Помните сериал «Звездный путь» — оригинальный, конечно же, — когда старший офицер звездолета «Энтерпрайз» Спок смотрел в свой визор, сканируя парсеки космоса? На самом деле Спок разглядывал результаты работы одобренного Звездным флотом скрипта PowerShell.

Во времена, когда я писал серию статей о тестах на проникновение, чтобы помочь человечеству в борьбе с хакерами, мне попалась информация о некоторых интересных командлетах и техниках PowerShell. Я сделал выдающееся открытие: PowerShell является самостоятельным средством защиты. Похоже, самое время начать новую серию публикаций о PowerShell.

В этих публикациях мы будем придерживаться мнения, что, хотя PowerShell не заменит специальные платформы безопасности (сотрудники Varonis могут вздохнуть с облегчением), это средство поможет ИТ-специалистам отслеживать угрозы и принимать другие меры для обеспечения безопасности. Кроме того, ИТ-отдел начнет ценить чудеса специализированных платформ безопасности, таких как наше решение Metadata Framework. PowerShell может выполнять интересные задачи по обеспечению безопасности в малых масштабах, но это средство не обладает характеристиками для работы со всей инфраструктурой.

По данным нового исследования, предприятия, вкладывающие средства в специализированные продукты, больше внимания уделяют угрозам, а не собственным данным.

Опубликованное во вторник исследование показало, что предприятия больше внимания уделяют угрозам, а не защите своих данных.

Накануне Нового года избранный президент Дональд Трамп сказал несколько слов о кибербезопасности. Как это бывает, его слова вызвали ажиотаж.

«Если вы хотите передать действительно важную информацию, запишите ее и доставьте по старинке — курьером. Вот что я вам скажу: безопасных компьютеров не существует, — заявил Трамп. — Неважно, что говорят другие».

Хотя многие высмеяли это заявление, вопрос хранения конфиденциальной информации офлайн стал особенно интересен после нашумевших взломов федерального Управления кадровой службы, Налогового управления США и Национального комитета Демократической партии. Следует ли правительству подумать о возвращении в дотехнологическую эпоху?

• Facebook заявляет, что никто, даже сама компания, не может получить доступ к сообщениям WhatsApp.

• Однако лазейка в системе безопасности позволяет Facebook читать переписку клиентов.

• Это становится возможным при принудительной генерации ключей шифрования WhatsApp для пользователей не в сети.

• Сообщение об уязвимости поступило в компанию Facebook в апреле прошлого года.

Благодаря сквозному шифрованию WhatsApp считается одной из самых безопасных служб обмена сообщениями.

При сквозном шифровании перехваченное сообщение невозможно прочитать.

Тем не менее в системе безопасности программы выявлена брешь, которая позволяет посторонним лицам и Facebook перехватывать и читать зашифрованные сообщения WhatsApp.

Система DNS — это фундаментальный технологический продукт. Обработка практически всех сетевых запросов верхнего уровня и поисковых запросов в Интернете, пересылка интернет-трафика и электронной почты, а также многие другие операции становятся возможными благодаря установке определенных соответствий при поиске DNS (преобразованию таких имен, как some.domain.org, в IP-адреса или имена других доменов).

Всё больше исследователей, с чьим мнением мы согласны, говорят о том, что меры защиты, применямые на сетевом периметре (такие как, например, системы предотвращения утечек данных — DLP) неэффективны — не помогают превентивно закрыть канал утечки, до того как она произойдёт.

Причинами упомянутой неэффективности являются как требования непрерывности бизнеса (у Российских компаний также есть исторически сложившаяся психологическая привязка, связанная как с нежеланием выбора модели сопровождения внедрений до того момента, когда ложные срабатывания будут сведены практически к нулю, так и с отставанием в прошлые годы технических средств, разрабатываемых на просторах СНГ, от зарубежных технологических лидеров, не позволяющая включать механизмы предотвращения утечки, останавливаясь на их обнаружении*), так и то, что обнаружение утечки происходит, зачастую, либо когда она уже произошла, постфактум или вовсе никогда, что ещё более ухудшит данную статистику (а обнаружение атак стандартными средствами не происходит быстрее, чем в течение часа и более с момента получения значимого события), либо в тот момент, когда данные вот-вот покинут пределы сети компании — и нет никакой возможности распознать подготовку данных к отправке наружу (неважно по сети, на физическом носителе или же в галерее фотоснимков гаджета).

В современных организациях на файловых серверах скапливается огромное количество информации, создаваемой пользователями в своей работе. Необходимо понимать, что множество документов, которые могут находиться на файловом сервере, содержат в себе важную, часто конфиденциальную, информацию. И найти ее, а также понять, кто имеет доступ к ней, и кто этой информацией пользуется, не всегда бывает просто.

Хроническая эпидемия расстройства восприятия лиц у жителей Метрополиса, из-за которой никто не замечает, что Кларк Кент и чудаковатый летающий пришелец, похожий на него как две капли воды, — это в действительности одно и то же лицо, распространяется и на технический сектор, где мы постоянно спорим о том, насколько строго нужно различать протоколы SSL и TLS.

Мне страшно представить, с каким стрессом связана работа ИТ-специалистов Ким Чен Ына, так как он, скорее всего, из тех руководителей, которые все время наблюдают за твоей работой из-за плеча, постоянно касаются экрана и с нехорошим выражением лица намекают на «исчезновение» всех твоих родственников в трех поколениях, если при развертывании исправлений будет допущена хоть одна ошибка.

Мы часто слышим об утечке данных из крупных компаний, государственной поддержке хакеров и разработке нестандартных методов шифрования, однако необходимо признать, что причиной большинства возникающих ежедневно проблем безопасности являются банальные ошибки в конфигурации системы.

Иногда наличие одного-единственного нужного инструмента может сэкономить вам не один час и спасти от лишней монотонной работы. Мы составили список лучших универсальных инструментов, которые помогают системным администраторам диагностировать и устранять неполадки, тестировать и грамотно настраивать систему для работы, а также эффективно обмениваться информацией.

Раньше для того, чтобы проникнуть в Национальный комитет Демократической партии не виртуальным ворам было необходимо взломать реальные дверные замки и «порыться» в картотеках. Кража секретов производства реактивного истребителя, например, предполагает незаконное проникновение в помещение в отсутствии владельца и требует реализации некоторых талантов вора, а так же активизации определенных знаний, касающихся скажем особенностей работы малюсеньких шпионских камер. Затем, этот шпион мог передать микро-фильм курьеру, обмениваясь одинаковыми конвертами.

Времена изменились.