Guía Para Asegurar PowerShell [NSA]
En este artículo nos hacemos eco de los consejos que ha dado la NSA para proteger Windows con PowerShell. La NSA y los centros de seguridad cibernética en los EE.UU. (CISA), Nueva Zelanda (NZ NCSC) y el Reino Unido (NCSC-UK) han creado un conjunto de recomendaciones para usar PowerShell para mitigar las amenazas cibernéticas en lugar de eliminarlo o deshabilitarlo, lo que menores capacidades defensivas.
PowerShell es una interfaz de consola que viene integrada con Windows. Desde allí podemos ejecutar comandos y llevar a cabo ciertas acciones. Por ejemplo podemos automatizar tareas o ver cierta información del equipo. También podemos utilizar sus capacidades de seguridad integradas para mejorar nuestra protección y hacer que el sistema sea más seguro.
Uno de los consejos que dan es proteger la comunicación remota de PowerShell, para evitar que puedan exponer las credenciales en texto sin formato cuando se ejecutan comandos de forma remota en los hosts de Windows. Indican que si los administradores habilitan esta función en redes privadas, automáticamente agregan una nueva regla en el firewall de Windows que permite todas las conexiones.
Por tanto, la personalización del Firewall de Windows para permitir conexiones solo desde puntos finales y redes confiables ayuda a reducir la posibilidad de que un atacante realice un movimiento lateral con éxito.
Desde la NSA recomiendan registrar la actividad de PowerShell para poder detectar un mal uso. De esta forma podremos monitorizar los registros y encontrar posibles señales de que algo no va bien. Registrar la actividad de PowerShell y monitorear los registros son dos recomendaciones que podrían ayudar a los administradores a encontrar signos de posibles abusos. Se proponen activar funciones como: Deep Script Block Logging (DSBL), Module Logging, and Over-the-Shoulder transcription (OTS).
Los dos primeros permiten crear una base de datos integral de registros que se pueden usar para buscar actividades de PowerShell sospechosas o maliciosas, incluidas acciones ocultas y los comandos y scripts utilizados en el proceso. Con OTS, los administradores obtienen registros de cada entrada o salida de PowerShell, lo que podría ayudar a determinar las intenciones de un atacante en el entorno.
Los administradores pueden usar la siguiente tabla para verificar las características que brindan varias versiones de PowerShell para ayudar a habilitar mejores defensas en su entorno:
La NSA, de cara a usar conexiones remotas, recomienda utilizar el protocolo Secure Shell (SSH), compatible con PowerShell 7. Esto aportará una mayor seguridad. Esto es así ya que las conexiones remotas no necesitan HTTPS con certificados SSL, ni hosts de confianza como sí ocurriría al realizar una conexión remota a través de WinRM.
También recomiendan reducir las operaciones de PowerShell con la ayuda de AppLocker o Windows Defender Application Control para poder configurar la herramienta en modo CLM y evitar así operaciones fuera de las políticas definidas por el administrador.
El documento completo "Keeping PowerShell: Security Measures to Use and Embrace" está disponible aquí [PDF].
Fuente: Bleeping Computer
Via: blog.segu-info.com.ar