PT Sandbox

Песочница для экспертной защиты от сложного вредоносного ПО и угроз нулевого дня

T1546.013: Профиль PowerShell

Злоумышленники могут закрепиться в системе и повысить свои привилегии путем запуска вредоносного содержимого, активируемого профилями PowerShell. Профиль PowerShell (profile.ps1) — это сценарий, который выполняется при запуске PowerShell и может использоваться в качестве сценария входа в систему для настройки пользовательской среды.

PowerShell поддерживает несколько профилей в зависимости от пользователя или хост-программы. Например, для таких хост-программ PowerShell, как консоль PowerShell, PowerShell ISE или Visual Studio Code, могут быть назначены разные профили. Администратор также может задать профиль, который будет применяться ко всем пользователям и хост-программам на локальном компьютере .

Для закрепления в системе злоумышленники могут изменить эти профили, добавив в них нужные команды, функции, модули и (или) диски PowerShell. Измененный сценарий будет выполняться каждый раз, когда пользователь открывает сессию PowerShell, если при ее запуске не используется флаг -NoProfile .

Злоумышленник также может повысить свои привилегии, если сценарий в профиле PowerShell будет загружен и выполнен от имени учетной записи с более высокими привилегиями, например от имени администратора домена .

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor newly executed processes that may gain persistence and elevate privileges by executing malicious content triggered by PowerShell profiles.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor abnormal PowerShell commands, unusual loading of PowerShell drives or modules.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Locations where profile.ps1 can be stored should be monitored for modifications. Example profile locations include:

  • $PsHome\Profile.ps1
  • $PsHome\Microsoft.{HostProgram}_profile.ps1
  • $Home\My Documents\PowerShell\Profile.ps1
  • $Home\My Documents\PowerShell\Microsoft.{HostProgram}_profile.ps1
IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Locations where profile.ps1 can be stored should be monitored for new profiles. Example profile locations include:

  • $PsHome\Profile.ps1
  • $PsHome\Microsoft.{HostProgram}_profile.ps1
  • $Home\My Documents\PowerShell\Profile.ps1
  • $Home\My Documents\PowerShell\Microsoft.{HostProgram}_profile.ps1

Меры противодействия

IDM1045НазваниеПодпись исполняемого кодаОписание

Enforce execution of only signed PowerShell scripts. Sign profiles to avoid them from being modified.

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Making PowerShell profiles immutable and only changeable by certain administrators will limit the ability for adversaries to easily create user level persistence.

IDM1054НазваниеИзменение конфигурации ПООписание

Avoid PowerShell profiles if not needed. Use the -No Profile flag with when executing PowerShell scripts remotely to prevent local profiles and scripts from being executed.