Windows PowerShell绑定到超过三分之一的网络攻击
Marks&Spencer任命新的首席数字人员
IT求职者希望让更大的职业生涯移动
在三年内,财富100家公司的OpenStack设置100%
TFL在数字保存推动中将公司存档转移到AWS公共云
女孩竞争网络轨道职业生涯
美国IT专业人员在网络攻击检测中过度自信,研究发现
NHS 24承认117米IT项目的“系统失败”
埃森哲说,投资人或风险“数字文化冲击”
沃达丰的全球税收负担下降5亿英镑
皇家邮件成为第八次认可的Gov.uk验证提供商
PayPal表示,零售商无法优先考虑移动手机正在选择忽略他们的客户
IT经理的四分之一的中小企业是女性
行业领袖呼吁下一个伦敦市长优先考虑技术
Apple宣布印度技术开发行动
欧盟隐私盾牌:书面保证是否可以充分保护我们的欧盟数据(Snoops)保护欧盟数据?
伯恩茅斯委员会认为将其带回内部
改良的Dridex木马继续掠夺英国银行
欧盟议会表示,必须毫不拖延地通过数字单一市场
MWC16:智能手机供应商展示了移动世界大会的虚拟现实
更多学生选择高等教育计算课程
三星支付前六个月500米
移动基础设施项目是一个失败,承认Vaizey
移动应用程序可以结束“讨厌”的员工评估
世界上最大的银行完成联合区间的试验
学习表演,英国CIO对网络安全有关
Citi的企业客户在手机银行中做1亿美元
物联网需要更多创新的商业模式
如何在宽带服务失败中存活
SaaS提供商拒绝为Nutanix acropolis虚拟机管理程序的“昂贵”的VMware
科技北欧倡导与北欧启动会议的合作伙伴
新加坡网络安全专业人员可以获得20%的加薪
首席检查员的报告说,警察未能保持最新技术
社交媒体对千禧一代的购物习惯产生影响
补丁现在消除Glibc远程访问安全风险
在研究人员公开之后,日产在叶车应用程序安全缺陷
零售商处于“拨号”阶段的Omni频道
英格兰银行表示网络安全的风险管理关键
移动服务帮助银行留住客户并增加收入
SAP高管在数字骨架上看到物联网作为肉体
CIO采访:Anders Candell,Stora Enso
过去一年平均技术工资增长了2%
英格兰银行表示网络安全的风险管理关键
OpenReach在新住房庄园免费建立FTTP网络
NHS英格兰注射了55米以上的e-reglrals optake
MWC16:GSMA和运营商续订对关联妇女的承诺
萨里大学5Gic项目探索农村非斑点
领先的Edge论坛与帝国学院的业务中断
每周计算机50:庆祝50年的英国技术创新
谷歌的Chrome以欺骗欺骗性的嵌入式内容
您的位置:首页 >论坛 > 移动互联 >

Windows PowerShell绑定到超过三分之一的网络攻击

2021-06-10 17:44:24 [来源]:

一份报告显示,Microsoft'Swindows PowerShellConfiguration管理框架用于推出安全Firmcarbon Black及其合作伙伴的38%的网络攻击。

安全专家警告说,PowerShell在过去的一年里已经完全武器 - 但碳黑的第一个统一威胁报告首次量化了风险。

该报告基于由28家公司管理服务提供商和炭黑合作伙伴计划中的28家公司管理服务提供商和事件响应公司调查的1,100个网络安全事件的数据,包括BTB安全,EY,Kroll,Optiv,Rapid7和Red Canary。

参与该研究的公司超过三分之二表示,他们在过去一年中遇到了Powershell漏洞。

报告称,PowerShell开发的使用增加了支持恶意软件作者的不断增长的行业趋势,并通过利用操作系统(OS)工具来试验逃避检测的方法。

使用PowerShell的攻击在剩余的未检测到中非常有效,31%的炭黑合作伙伴报告了与相关的事件有关的炭黑合作伙伴已触发任何安全警报,表明攻击者在使用PowerShell进入并在公司的系统中取得成功。

大多数PowerShell攻击采取了基本或机会主义威胁的形式,使用单击欺诈,假冒防病毒和赎金软件等商品恶意软件攻击,而13%的涉及PowerShell的攻击似乎是有针对性的或“高级”。

在PowerShell攻击期间存在的三种最常见的恶意软件是Vawtrak(调查的攻击的53%),PowEliks(47%)和曲折或功率蠕虫(42%)。

据炭黑合作伙伴称,社会工程仍然是为提供基于PowerShell的攻击的有利技术。

“PowerShell是一个非常强大的工具,为查询系统和执行命令提供巨大的福利,包括远程机器,”炭黑的首席安全战略家和联合联合国。

“然而,最近,我们看到错误的家伙利用它的恶意目的,因为它在传统的终点安全产品的雷达中飞行。

“PowerShell给出了坏人,因为它是原生Windows操作系统的一部分,这使得安全团队很难。另一方面,PowerShell有助于它自动化各种任务。他说,这两个部门需要走在一起并在IT自动化和安全之间取得平衡,“他说。

2016年3月,炭黑威胁研究团队在赎金软件的变种中发出了一个赎金软件,通过Microsoft Word和PowerShell为目标组织。

研究人员发现,通过使用PowerShell来检索和执行恶意代码,PowerWare Ransomware可以避免将新文件写入磁盘并与合法活动混合,使得难以检测更难。

在RSA会议上2016年旧金山,安全专家Andsans Instringsinstructoreds Skoudis警告说,PowerShell Empire开源安全工具对攻击者来说是攻击者的用途。

PowerShell Empire的目标是展示攻击者可以与Powershell的全部力量有关,但它包括一个“强大的代理商”,攻击者可以用来利用PowerShell的各种功能,这已建于每个版本的Windows中八十年来,斯皮杜斯说。

鉴于PowerShell已完全武器,Skoudis表示,捍卫者不应依赖其有限的执行政策。

虽然PowerShell旨在限制用户可以写入以防止意外损坏的脚本,但Skoudis表示这不是一个安全功能,因为任何脚本都可用于关闭默认的受限执行策略以允许执行任何脚本。

微软通过在Windows 10中向PowerShell 5添加功能来响应PowerShell的武器化,以减少攻击者对PowerShell的开发。

“PowerShell 5将记录流水线上传递的所有项目,并将记录脚本块内部发生的事情,并且对于Windows 10,它具有与antimalware的集成,因此无论antimalware到位,PowerShell都可以在执行之前对antimalware进行调用脚本,“Skoudis说。

“PowerShell 5还有一个被称为”受限模式“的东西,它集成了PowerShell withApplocker,几乎给出了PowerShell脚本的白名单,但即使使用这个东西在Windows 10和PowerShell 5中,攻击者仍然有三到五年的剩余的PowerShell访问。 “

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。