PowerShell biztonsági naplózás megkerülése

A PowerShell v5 bevezetése óta a biztonsági naplózási képességek javulása miatt csökkent a PowerShell segítségével végrehajtott támadások száma, ahogy a behatolástesztelők és a red team-esek is más módszereket kezdtek el alkalmazni. A PowerShell új funkciói jobb lehetőségeket biztosítanak a kék csapatoknak a PowerShell-alapú fenyegetések megelőzésére. Bár a támadók különböző technikákat fejlesztettek ki e biztonsági intézkedések megkerülésére, például az AMSI és a ScriptBlock naplózás megkerülésére, ezek általában a naplózás teljes letiltását jelentik, nem pedig a naplók meghamisítását.

A kutatók most felfedeztek egy új technikát, amely lehetővé teszi bármely tetszőleges ScriptBlock üzenet meghamisítását a naplókba anélkül, hogy tükrözésre vagy memóriafoltozásra lenne szükség. Ez a módszer a PowerShell absztrakt szintaxisfáit (AST) használja ki, amelyeket a forráskód gépi kóddá alakítására használnak. Az AST és az Extent tulajdonság manipulálásával a kutatók bemutatták, hogy képesek olyan egyéni ScriptBlockokat létrehozni, amelyek megkerülik az olyan biztonsági funkciókat, mint az AMSI és a ScriptBlock naplózás. Ez a ScriptBlock-csempészetnek nevezett technika lehetővé teheti a nem hitelesített felhasználók vagy fenyegető szereplők számára, hogy megkerüljék a vírusirtó és a végpontok észlelő és reagáló (EDR) rendszereit, ami jelentős biztonsági kockázatot jelent.

(forrás)