知己知彼、降低風險
Windows PowerShell或是CMD讓管理者可以在Local或是Remote進行系統層、網路層、應用程式層、檔案的操作管理。也深深吸引駭客或是資料竊取者的關注與使用。孰不知多數一般使用者常常忽略它的風險,即便市場上不少End-Point DLP設計也很難有效管控與記錄相關軌跡,如果竊取者進一步利用PowerShell來包覆相關指令或應用程式,又可以達到隱蔽軌跡與清除軌跡的效果。不得不正視這類攻擊入侵應用。
舉幾個在滲透測試或是駭客常用的模組化的Suite,例如:Nishang、Empire…等都是常用的入侵攻擊套件。分析近期勒索軟體的攻擊行為,從知名勒索軟體的逆向工程發現,無檔案式入侵模式都有藏有相關結構性運作,搭配PowerShell以及CMD指令,進行檔案加密勒索,是目前勒索軟體的原質要素之一。
面對端點防護的重要時機,透過某些管控瓦解風險技術渠道,並且針對重要檔案建立「Security Area」(補充說明Security Area:精品X-FORT解決勒索軟體降低企業重複備份的防禦設計),都是經過不斷實驗測試驗證後替客戶建立的安全防護重要設計。
另類選項:手動管制降低風險
利用手動方式進行防禦,這樣的程序,雖充滿了再入侵的風險,未盡如人意,也是一種必須反制之道。其因缺乏長期監控與管制修護,容易讓相關防守被入侵者找到更特殊的模式進行提權而失效。分述如下:
- 拔除Local Admin權限:這樣的施作手段,可以讓相關軟體無法安裝,等同限縮使用者對軟體安裝自主權,這是個雙面刃,但也因為拔除Local Admin所以減少軟體bypass管制手段,即便是無檔案式入侵,也限縮軟體安裝的機會,對管理者或是使用者產生不便,這是兩害取其輕的作法。
- 禁用PowerShell遠端執行權限,這樣的設計也可以避免駭客遠端進行PowerShell的執行。反思,這必須與拔除Local Admin搭配使用才會有效果。
- 啟用較佳的防駭系統,透過該系統機制,可以過濾掉高風險的PowerShell 執行序,也是一種重要手段。
歸納分析,若政府或企業內部不會使用到PowerShell為媒介的Scripts,建議全面關閉PowerShell的使用,畢竟不是常態常用的環境,何必留下一個尾大不掉的風險途徑呢?
反省安全管控強度與其他滲透手段
筆者前述說過,手動的機制,缺乏有效長期監控設計,所以使用者並不知道端點PC、Server或Laptop環境是否重新被活化啟用,再者Admin權限再次被註銷或提權,讓原有手動管制機制失效,這才是另一種潛藏的風險。精品科技X-FORT電子資料監控系統,在相關整合性安全應用,可有效解決手動防護的缺損與不足,也是End-Point管控在協防政府與企業上一項非常重要的功能。