Defensa contra ataques PowerShell

Que la industria de la seguridad está repleta de noticias sobre cómo se está utilizando PowerShell tanto por malware como por atacantes no es un secreto. Por eso defenderse de estos ataques es capital, o al menos debe serlo, para la mayoría de las organizaciones. Hoy leía un artículo en el blog de Microsoft en el que la comunidad de PowerShell.org resaltaba algunas recomendaciones interesantes:

• Implementar PowerShell v5, integrado en Windows 10. De forma alternativa se puede implementar Windows Management Framework, disponible hasta en Windows 7 y Windows Server 2008r2.
• Habilitar y recopilar logs de PowerShell, incluyendo opcionalmente el Registro de eventos protegidos. Incorporar estos logs en los flujos de trabajo de firmas, búsqueda y respuesta a incidentes.
• Implementar la administración "Just Enough" en los sistemas más importantes para eliminar o reducir el acceso administrativo sin restricciones a esos sistemas.
• Implementar políticas de Device Guard/Application Control para permitir que las tareas administrativas preaprobadas puedan utilizar toda la capacidad del lenguaje PowerShell, a la vez que se limita su uso al resto.
• Instalar Windows 10 para brindar al proveedor de antivirus acceso completo a todo el contenido (incluido el contenido generado o no ofuscado en tiempo de ejecución) procesado por Windows Scripting Hosts, incluido PowerShell.

Más o menos estos pasos y soluciones están bastante detallados en la presentación que hizo Lee Holmes en el último Global Summit de Powershell + DevOps: "Defendiendo contra los ataques de PowerShell", sin duda un video bastante académico y entretenido para noches de insomnio:

Diapositivas usadas en este vídeo: Defending-Against-PowerShell-Attacks.

Más detalles sobre las funciones de seguridad de PowerShell: PowerShell ♥ the Blue Team.
Para obtener más información sobre la implementación de Just Enough: http://aka.ms/jeadocs.

Fuente: HackPlayers