ExtraHop, PowerShell’in kötü amaçlı kullanımını tespit etmek için yeni yetenekler duyurdu. Bu geliştirmeler, saldırı öldürme zincirini bozmak için gereken görünürlüğü sağlar ve yollarındaki yanal hareketi durdurmak için içgörü sağlar.
PowerShell gibi uzaktan yönetim araçları, Birleşik Krallık’taki birkaç hastane de dahil olmak üzere dünya çapında birçok yüksek değerli kuruluşu vuran Qilin Hizmet Olarak Fidye Yazılımı (RaaS) operasyonu gibi saldırganlar için dikkate değer bir silah haline geldi.
Tehdit aktörleri, ağın kontrolünü ele geçirmek amacıyla ağın haritasını çıkarırken, hedefleri belirlerken ve kullanıcı ayrıcalıklarını artırmak için etrafta gezinirken radarın altına girmek amacıyla genellikle arazi dışında yaşayanlar için PowerShell’i kullanıyor. Uzaktan yönetim araçlarını kullanarak ve komutlarını şifreleyerek, saldırganların eylemlerini gizlemesine ve araçlar tarafından tespit edilmemesine olanak tanır.
Bu zorlukların üstesinden gelmek için ExtraHop, bu tespitlere bağlam ekleyen çeşitli yeni tespitler ve yetenekler ekledi. PowerShell komutlarını ve Sharefinder Numaralandırmasını Çağır girişimi ve Grup İlkesi Tercihleri Parola Numaralandırması gibi diğer yatay hareket tekniklerini kullanan algılamalar, kuruluşların hassas bilgiler veya kimlik bilgileri için diğer cihazlara erişme girişimlerini tespit etmesine olanak tanır.
ExtraHop, MS-RPC ve WSMAN gibi protokoller içinde şifrelenmiş olsalar bile, bu kötü amaçlı komutların içinde gizli olan içeriğin şifresini çözer ve ortaya çıkarır; böylece analistlerin, saldırı öldürme zinciri boyunca bir tehdidin yolunu izlemesine olanak tanır.
ExtraHop ile işletmeler aşağıdaki avantajlardan yararlanır:
- Kritik bağlamla gizli tehditleri ortaya çıkarın: ExtraHop, kötü amaçlı etkinlikleri yüksek hızda ortaya çıkarmak için 100 Gbps hızında şifrelenmiş trafiğin şifresini çözer ve 90’dan fazla ağ protokolünün kodunu çözer.
- Tehdit artmadan önce yanal hareketi tespit edin: Bir saldırganın ağdaki farklı cihazlara yönelik eylemlerini ve hareketlerini görmek için PowerShell komutlarını açığa çıkarın.
- Arazide yaşama saldırılarını durdurun: PowerShell’in ayrıcalık yükseltme, kimlik bilgisi dökümü veya EDR veya güvenlik duvarı kontrollerini devre dışı bırakma gibi zararlı etkinlikler için ne zaman kullanıldığını tespit edin.
ExtraHop Ürün Pazarlamadan Sorumlu Başkan Yardımcısı Anthony James, “Aksi takdirde gizlenecek komutların şifresini çözme ve kod çözme yeteneği olmadan kuruluşlar PowerShell saldırılarının kurbanı olacak” dedi. “ExtraHop, diğer araçların kaçırdığı kötü amaçlı PowerShell komutlarını tam olarak yakalamak için yerel şifre çözme ve protokol akıcılığımızdan yararlanarak bunu müşterilerimiz için gerçeğe dönüştürmek için inanılmaz derecede sağlam bir yol geliştirdi. Bu görünürlük düzeyiyle, kuruluşlar yanal hareketi ortaya çıkarabilir ve tehditler etkili ihlallere dönüşmeden önce bir saldırıyı durdurabilir.”