系統管理工具和正常使用協定可以讓管理員、資安專家和開發人員更加具備靈活度和效率。但如果被攻擊者、網路犯罪分子和其他惡意份子利用,就會讓惡意軟體融入正常的網路流量來躲避傳統的安全機制,留下更少的足跡。正如2017年知名的威脅所顯示的那樣,讓它們被暴露或未加防護,甚至無意間被加以利用都可能產生嚴重的後果。
以下是2017年一些常被濫用的工具和協定,以及企業能夠用來對付利用這些工具進行攻擊的最佳實作:
PowerShell
它是什麼:Windows PowerShell是包含腳本語言和命令列shell的管理框架。它讓系統管理員可以自動化任務和管理流程。包括:啟動命令列、終止程序、找到資料夾和檔案、設定命令在背景排程執行、存取應用程式介面(API)以及管理系統和伺服器設定。
它如何被濫用:PowerShell是許多惡意軟體的主要部分,特別是無檔案威脅。像是Cerber和PowerWare等勒索軟體,像FAREIT這樣的資料竊取程式,像VAWTRAK這樣的銀行木馬以及將惡意PowerShell腳本嵌入可執行檔或巨集病毒文件的後門程式。這些腳本被用來取得和啟動/執行惡意軟體。因為PowerShell的性質,它常會被加入白名單;攻擊者利用它來躲避防毒(AV)偵測。
最佳實作:限制其使用,或將可能被濫用的指令加入黑名單 – 這可以提高安全性,但也可能影響其他系統功能。管理員也可以利用PowerShell本身,使用觸發器來偵測常被用於惡意PowerShell腳本的指令或參數。PowerShell還具備日誌功能,可以用來分析系統內的可疑行為。微軟也提供如何安全使用PowerShell的最佳實作建議。
PSEXEC
它是什麼:PsExec是可以讓使用者遠端啟動程序及執行命令或可執行檔的命令列工具。它使用登入到系統的使用者權限執行。PsExec有多種用途,它可以讓管理員重新導向系統間的控制台輸入和輸出。PsExec也可以用來派送修補程式。
它如何被濫用:Petya/NotPetya勒索病毒會利用PsExec的修改過版本來存取和感染遠端機器。磁碟加密HDDCryptor也用類似的方式使用它。無檔案加密惡意軟體SOREBREC利用PsExec來加強其程式碼注入能力。PsExec的靈活性也讓它被用來劫持端點成為殭屍網路的一部分,並且安裝端點銷售(PoS)惡意軟體。據報PsExec也被用在Target資料外洩事件中。 繼續閱讀
