T1546.013: Профиль PowerShell
Злоумышленники могут закрепиться в системе и повысить свои привилегии путем запуска вредоносного содержимого, активируемого профилями PowerShell. Профиль PowerShell (profile.ps1
) — это сценарий, который выполняется при запуске PowerShell и может использоваться в качестве сценария входа в систему для настройки пользовательской среды.
PowerShell поддерживает несколько профилей в зависимости от пользователя или хост-программы. Например, для таких хост-программ PowerShell, как консоль PowerShell, PowerShell ISE или Visual Studio Code, могут быть назначены разные профили. Администратор также может задать профиль, который будет применяться ко всем пользователям и хост-программам на локальном компьютере .
Для закрепления в системе злоумышленники могут изменить эти профили, добавив в них нужные команды, функции, модули и (или) диски PowerShell. Измененный сценарий будет выполняться каждый раз, когда пользователь открывает сессию PowerShell, если при ее запуске не используется флаг -NoProfile
.
Злоумышленник также может повысить свои привилегии, если сценарий в профиле PowerShell будет загружен и выполнен от имени учетной записи с более высокими привилегиями, например от имени администратора домена .
Какие продукты Positive Technologies покрывают технику
Описание методов обнаружения техники пока недоступно
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Monitor newly executed processes that may gain persistence and elevate privileges by executing malicious content triggered by PowerShell profiles. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor abnormal PowerShell commands, unusual loading of PowerShell drives or modules. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Locations where
|
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Locations where
|
---|
Меры противодействия
ID | M1045 | Название | Подпись исполняемого кода | Описание | Enforce execution of only signed PowerShell scripts. Sign profiles to avoid them from being modified. |
---|
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Making PowerShell profiles immutable and only changeable by certain administrators will limit the ability for adversaries to easily create user level persistence. |
---|
ID | M1054 | Название | Изменение конфигурации ПО | Описание | Avoid PowerShell profiles if not needed. Use the -No Profile flag with when executing PowerShell scripts remotely to prevent local profiles and scripts from being executed. |
---|