Badan Keamanan Nasional (NSA) dan lembaga mitra keamanan siber mengeluarkan imbauan hari ini yang merekomendasikan administrator sistem untuk menggunakan PowerShell untuk mencegah dan mendeteksi aktivitas berbahaya pada mesin Windows.
PowerShell sering digunakan dalam serangan siber, dimanfaatkan sebagian besar pada tahap pasca-eksploitasi, tetapi kemampuan keamanan yang tertanam dalam alat otomatisasi dan konfigurasi Microsoft juga dapat menguntungkan para defender dalam upaya forensik mereka, meningkatkan respons insiden, dan untuk mengotomatiskan tugas yang berulang.
Administrator harus menyadari bahwa mengaktifkan fitur ini di jaringan pribadi secara otomatis menambahkan aturan baru di Windows Firewall yang mengizinkan semua koneksi. Menyesuaikan Windows Firewall untuk mengizinkan koneksi hanya dari titik akhir dan jaringan tepercaya membantu mengurangi peluang penyerang untuk gerakan lateral yang berhasil.
Untuk koneksi jarak jauh, agensi menyarankan untuk menggunakan protokol Secure Shell (SSH), yang didukung di PowerShell 7, untuk menambah kenyamanan dan keamanan otentikasi kunci publik:
- koneksi jarak jauh tidak memerlukan HTTPS dengan sertifikat SSL
- tidak perlu Host Tepercaya, seperti yang diperlukan saat melakukan remote melalui WinRM di luar domain
- amankan manajemen jarak jauh melalui SSH tanpa kata sandi untuk semua perintah dan koneksi
- Remote PowerShell antara host Windows dan Linux
Rekomendasi lain adalah untuk mengurangi operasi PowerShell dengan bantuan AppLocker atau Windows Defender Application Control (WDAC) untuk mengatur alat agar berfungsi dalam Mode Bahasa Terbatas (CLM), sehingga menolak operasi di luar kebijakan yang ditentukan oleh administrator.
Mendeteksi penggunaan PowerShell yang berbahaya
Merekam aktivitas PowerShell dan memantau log adalah dua rekomendasi yang dapat membantu administrator menemukan tanda-tanda potensi penyalahgunaan.
NSA dan mitranya mengusulkan untuk mengaktifkan fitur-fitur seperti Deep Script Block Logging (DSBL), Module Logging, dan Over-the-Shoulder transcription (OTS).
Dua yang pertama memungkinkan pembuatan database log komprehensif yang dapat digunakan untuk mencari aktivitas PowerShell yang mencurigakan atau berbahaya, termasuk tindakan tersembunyi dan perintah serta skrip yang digunakan dalam proses. Dengan OTS, administrator mendapatkan catatan dari setiap input atau output PowerShell, yang dapat membantu menentukan niat penyerang di lingkungan.
Administrator dapat menggunakan tabel di bawah ini untuk memeriksa fitur yang disediakan oleh berbagai versi PowerShell untuk membantu mengaktifkan pertahanan yang lebih baik di lingkungan mereka:
Dokumen yang dirilis NSA hari ini menyatakan bahwa “PowerShell sangat penting untuk mengamankan sistem operasi Windows,” terutama versi yang lebih baru yang mengatasi batasan sebelumnya.
Jika dikonfigurasi dan dikelola dengan benar, PowerShell dapat menjadi alat yang andal untuk pemeliharaan sistem, forensik, otomatisasi, dan keamanan.
Dokumen lengkap berjudul “Menjaga PowerShell: Tindakan Keamanan untuk Digunakan dan Dirangkul” tersedia di sini [PDF].
Sumber: BleepingComputer