企业网安漏洞侦测之CMD与PowerShell风险探讨 智能应用 影音
MongoDB
member

企业网安漏洞侦测之CMD与PowerShell风险探讨

  • 刘中兴台北

CMD与PowerShell已成为隐性之企业网安漏洞。
CMD与PowerShell已成为隐性之企业网安漏洞。

CMD与PowerShell已是微软OS缺省的基本功能,却也是企业网安应用的双面刃。

即便PowerShell在缺省状态下将限制执行权限。PowerShell在系统管理员权限下执行Set-ExecutionPolicy RemoteSigned就可以启动,更何况在黑客入侵提权后,CMD与PowerShell变成一个隐性企业网安漏洞。

以下就举几个入侵窃取应用实例,来与大家分享,也借此机会检视企业与政府相关网安防守是否充足。

CMD隐写术来进行企业数据窃取

高科技业的智能财产是企业生存的重要基石,更是企业获利重要资产。许多顶尖企业或高敏感单位都导入强大DLP端点防护机制,来限制员工将企业敏感性信息传送到外部网络,进行轨迹记录分析;但是对于CMD与PowerShell却失去警戒心。

以CMD为例,利用copy指令就可以轻易将机台参数或是layout线路图,合并在一张照片中,这就是利用CMD所达成的隐写术,再以邮件或上网方式传送出去。

MIS或网安稽核大概只会看到一张不疑有他的照片,很少会去注意是一份重要信息隐藏其中。一来不需安装软件窃取,一个简单的指令就做到该有的逃脱隐匿。

CMD与WMIC来进行程序提权执行

进一步利用CMD环境执行WMIC,这就是黑客或是高段IT素养内部人员会用的手法,许多企业会将相关程序执行权限降级,维持基本可用权限,但是这样多的软件,总是有些需要高权限环境才能运行的状态。

此时可以利用WMIC进行权限状态检查与分析,就可以发现在低权限使用者状态下,仍有些应用程序在需要高权限目录下执行程序的应用,这时候只要发现当该程序目录具备可写、可执行、与高权限,就可以将所要执行的程序放置到该目录来执行,就可以进行入侵或窃取。

PowerShell的渗透与窃取

谈到这一点,熟捻黑客入侵手法的网安人员,应该都耳闻过PowerShell入侵(渗透)工具集,近期较为知名的如PoshC2,更是将CMD, JS, Java, wscript于一体的整合入侵应用,包含高端无档案式入侵应用,以及基本的屏幕截图等。

就以简单屏幕截图为例,许多企业与敏感单位,是全面防守屏幕截图,怕相关重要数据泄漏出去,可是使用PowerShell屏幕截图却有机会绕过防守,将机台信息图片给截录下来,透过PowerShell上传档案也基本功而已。

所以企业与高敏感单位,应该更积极检视目前的安全防守是否有效,才能提升企业网安防御的效果,有效针对特殊且简易的入侵窃取手法进行围堵。