企業資安漏洞偵測之CMD與PowerShell風險探討
CMD與PowerShell已是微軟OS預設的基本功能,卻也是企業資安應用的雙面刃。
即便PowerShell在預設狀態下將限制執行權限。PowerShell在系統管理員權限下執行Set-ExecutionPolicy RemoteSigned就可以啟動,更何況在駭客入侵提權後,CMD與PowerShell變成一個隱性企業資安漏洞。
以下就舉幾個入侵竊取應用實例,來與大家分享,也藉此機會檢視企業與政府相關資安防守是否充足。
CMD隱寫術來進行企業資料竊取
高科技業的智慧財產是企業生存的重要基石,更是企業獲利重要資產。許多頂尖企業或高敏感單位都導入強大DLP端點防護機制,來限制員工將企業敏感性資訊傳送到外部網路,進行軌跡記錄分析;但是對於CMD與PowerShell卻失去警戒心。
以CMD為例,利用copy指令就可以輕易將機台參數或是layout線路圖,合併在一張照片中,這就是利用CMD所達成的隱寫術,再以郵件或上網方式傳送出去。
MIS或資安稽核大概只會看到一張不疑有他的照片,很少會去注意是一份重要資訊隱藏其中。一來不需安裝軟體竊取,一個簡單的指令就做到該有的逃脫隱匿。
CMD與WMIC來進行程序提權執行
進一步利用CMD環境執行WMIC,這就是駭客或是高段IT素養內部人員會用的手法,許多企業會將相關程序執行權限降級,維持基本可用權限,但是這樣多的軟體,總是有些需要高權限環境才能運行的狀態。
此時可以利用WMIC進行權限狀態檢查與分析,就可以發現在低權限使用者狀態下,仍有些應用程式在需要高權限目錄下執行程序的應用,這時候只要發現當該程序目錄具備可寫、可執行、與高權限,就可以將所要執行的程序放置到該目錄來執行,就可以進行入侵或竊取。
PowerShell的滲透與竊取
談到這一點,熟捻駭客入侵手法的資安人員,應該都耳聞過PowerShell入侵(滲透)工具集,近期較為知名的如PoshC2,更是將CMD, JS, Java, wscript於一體的整合入侵應用,包含高階無檔案式入侵應用,以及基本的螢幕截圖等。
就以簡單螢幕截圖為例,許多企業與敏感單位,是全面防守螢幕截圖,怕相關重要資料洩漏出去,可是使用PowerShell螢幕截圖卻有機會繞過防守,將機台資訊圖片給截錄下來,透過PowerShell上傳檔案也基本功而已。
所以企業與高敏感單位,應該更積極檢視目前的安全防守是否有效,才能提升企業資安防禦的效果,有效針對特殊且簡易的入侵竊取手法進行圍堵。