Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Comment se défendre contre les attaques PowerShell ?

PowerShell est un outil puissant qui permet aux admins systèmes gérant un parc Windows de lancer des tas de scripts utiles à la maintenance et à l’automatisation de certaines tâches.

Le problème c’est que PowerShell est aussi régulièrement utilisé par les malwares ou les cyber criminels pour se déployer et réaliser leur sale besogne. Alors, comment faire pour continuer avec PowerShell tout en se sécurisant un minimum ?

Voici quelques conseils :

  1. Mettez à jour vers PowerShell 5 (présent dans Windows 10). Autrement, vous pouvez aussi déployer le framework Windows Management dispo pour Windows 7 et Windows Server 2008r2.
  2. Activez et surveillez les logs PowerShell et intégrez les dans vos workflows d’analyse de menace et de réponses incidents. Profitez-en aussi pour ajouter les journaux d’événement Windows si ce n’est pas déjà fait.
  3. Sur les machines critiques, mettez en place JEA (Just Enough Administration) qui autorise une administration déléguée de tout ce qui peut être géré avec PowerShell. Cela permet d’avoir juste ce qu’il faut comme droits pour travailler, mais pas plus, histoire de contraindre d’éventuels malware.
  4. Mettez en place une politique de gestion des droits d’accès pour permettre à vos scripts Powershell de fonctionner tout en bloquant par exemple, l’utilisation de Powershell en mode interactif.
  5. Enfin, désolé de vous dire ça, mais va falloir passer à Windows 10, car la nouvelle version de l’OS de Microsoft permet aux antivirus de scanner tout ce qui est généré ou passé en mémoire via des scripts Windows (WSH) et/ou PowerShell.

En complément, voici une vidéo de Lee Holmes, architecte principal de Azure Management chez Microsoft, qui explique dans cette présentation, comment se défendre contre les attaques Powershell.

Source


Les articles du moment