Alla ricerca di esecuzioni di PowerShell dannose con Intercept X

Intercept XSophos SoluzioniPowershell

Intercept X Advanced con EDR ora è in grado di fermare tutte le esecuzioni di PowerShell in modo che possano essere controllate e analizzate

PowerShell è dannoso? Non necessariamente. Infatti, la maggior parte delle esecuzioni di PowerShell non sono pericolose, ma esso può essere (e spesso lo è) sfruttato per azioni malevole.

Le nuove funzionalità di Sophos EDR offrono la possibilità di rintracciare esecuzioni dannose che altrimenti potrebbero restare nascoste. Ad esempio, le esecuzioni che utilizzano l’argomento del comando codificato hanno maggiori probabilità di essere associate a comportamenti malevoli e sono meno comuni nelle esecuzioni corrette.

Con Intercept X Advanced con EDR 1.1, gli analisti possono facilmente cercare i comandi di PowerShell, inclusi gli argomenti dei comandi codificati.

È possibile cercare altre esecuzioni di PowerShell sospette oltre ai comandi codificati come un bypass della policy (-Exec Bypass), informazioni mancanti (-NoLogo, -NoProfile) e altro.

Queste nuove funzionalità sono state aggiunte a Intercept X Advanced per Server con l’Early Access Program di EDR in modo che i partecipanti possano iniziare a utilizzare queste nuove funzionalità sui propri server.

Funzioni di PowerShell precedentemente incluse in Intercept X

Intercept X blocca già e attività dannose note di PowerShell. La funzione Application Lockdown termina automaticamente un’applicazione protetta in base al suo comportamento. Ad esempio, quando si fa leva su un’applicazione di Office per avviare PowerShell, accedere a WMI, eseguire una macro per installare un codice arbitrario o manipolare aree strategiche del sistema, Sophos Intercept X blocca l’azione dannosa – anche quando l’attacco non genera un processo figlio. Inoltre, previene le esecuzioni di codice PowerShell dannose tramite Dynamic Data Exchange.

Per ulteriori informazioni sulla protezione da exploit con Intercept X.

Infine, se PowerShell sembra essere coinvolto in un rilevamento viene indicato nel Threat Case in cui è possibile analizzare la riga di comando eseguita.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.