Non è un mistero per nessuno che pirati e cyber criminali trovino sempre nuove strade per portare a termine i loro obiettivi.

Recentemente si sono visti attacchi in grado di fare “danni” attraverso l’uso di PowerShell, quindi usando comandi di sistema, o di creare comandi all’interno del Task Scheduler di Windows.

In tali circostanze anche il miglior antivirus può avere seri problemi a intercettare il malware quando entra in azione.

A fronte delle nuove tecniche usate come veicolo di infezione da parte dei creatori di malware, abbiamo individuato alcune aree in cui l’automazione e gli strumenti RMM possono coadiuvare l’antivirus nella prevenzione o nell’individuazione di queste minacce.
 
Si tratta quindi di individuare delle operazioni da fare “a tappeto” su tutte le macchine che vogliamo proteggere.
 

Naturalmente queste azioni non sono la bacchetta magica risolutiva e definitiva per ogni tipo di attacco ma, poiché la sicurezza richiede un approccio multilivello e un'incessante ricerca di tecniche di difesa, possono mitigare notevolmente il rischio di infezione o attacco.
 
Le aree di intervento sono quattro e precisamente:
 
  1. abilitazione del Constrained Mode di PowerShell;
  2. disabilitazione di PowerShell 2.0;
  3. riassociazione di alcune estensioni di file pericolose, in modo da evitare che l’utente possa mandarle in esecuzione;
  4. monitoraggio degli Scheduled Tasks di Windows in caso di inserimento di comandi non desiderati.
 
Achab fornisce un set di script già pronti per Datto RMM e Kaseya.
 

1. Abilitare il Constrained Mode



Il Constrained Mode di Powershell (5.0 e superiore) è una modalità operativa che impedisce l’utilizzo di tipi di dato non standard in PowerShell e che quindi blocca l’esecuzione di comandi “pericolosi” che permetterebbero a un malintenzionato di fare il bello e il cattivo tempo sui sistemi infettati.

E’ stato creato per non impattare sulla gestione amministrativa giornaliera, riducendo però la superficie di attacco utilizzabile per eseguire operazioni non desiderate.Quello che si dovrebbe quindi fare è abilitare il Constrained Mode e monitorarne l’effettiva attivazione, disabilitandolo all’occorrenza.

Il set di script fornito comprende procedure per:
  • abilitazione del Constrained Mode;
  • verifica della modalità di Powershell attiva;
  • disabilitazione del Constrained Mode.
 

2. Disabilitare PowerShell 2.0



In sistemi operativi recenti, è disponibile un subset di comandi PowerShell 2.0 che può essere abilitato a richiesta.

Questo subset permette il scavalcare il Constrained Mode di cui al punto 1 ed è stato utilizzato da cyber criminali in più circostanze, quindi non si parla di teoria ma di vulnerabilità realmente sfruttate. Quello che si dovrebbe quindi fare è disattivare Powershell 2.0 periodicamente sulle macchine.

Il set di script fornito comprende procedure per:
  • disattivazione di Powershell 2.0;
  • attivazione di Powershell 2.0.
 

3. Bloccare le estensioni di file pericolose



Alcune estensioni di file rappresentano un pericolo se eseguite con doppio click, perché eseguono comandi non tracciabili.

Queste estensioni di norma non sono utili per l’utilizzo giornaliero dei computer. Quello che si dovrebbe quindi fare è cambiare l’associazione dell’applicazione lanciata al doppio click sul file, in modo da aprire Notepad.exe invece del file che porta l’infezione o che cifra i dati o che causa il danno.

Il set di script fornito comprende procedure per:
  • modifica delle associazioni file pericolosi a Notepad;
  • reset delle associazioni file pericolosi a Windows default.
 

4. Monitorare gli Scheduled Task



Le operazioni pianificate di Windows sono spesso utilizzate per eseguire comandi shell (PowerShell o CMD) virali, spesso “direct-to-memory” (ossia senza file di appoggio).

Questo tipo di attacchi sono spesso molto difficili da intercettare per qualunque antivirus, visto che usa comandi legittimi di Windows e non scrive tracce su file system.

Quello che si dovrebbe quindi è monitorare il processo schtasks.exe e all’occorrenza parsare l’output, creando alert in presenza di comandi PowerShell o CMD.

Il set di script fornito comprende procedure per:
  • verifica presenza di PowerShell negli Scheduled Tasks;
  • verifica presenza di cmd /c negli Scheduled Tasks.
NOTA: questi script devono essere utilizzati associandoli al monitoraggio del processo schtasks.exe, per aumentarne l’efficacia; ossia prima si deve monitorare quando va in esecuzione il processo schtasks.exe e, una volta in esecuzione, vanno messi in esecuzione gli script.
 
Gli script per Kaseya e Datto RMM sono disponibili qui.

Gli script sono forniti senza supporto e non necessariamente coprono tutte le possibili vie di infezione o manomissione dei sistemi gestiti e non possono in nessun caso essere un sostituto di altre tecniche di protezione.

Gli script sono forniti “as is” e Achab non può essere ritenuta responsabile per eventuali problematiche derivanti dall’utilizzo di queste procedure né può essere ritenuta responsabile qualora le procedure si rivelino inefficaci.

Condividi sui Social Network