🖥️ การตรวจสอบ PowerShell เพื่อป้องกันภัยคุกคาม PowerShell เป็นเครื่องมือที่มีประโยชน์สำหรับผู้ดูแลระบบ แต่ก็เป็นช่องทางที่ผู้โจมตีใช้เพื่อหลีกเลี่ยงการตรวจจับและเข้าถึงระบบโดยไม่ได้รับอนุญาต ✅ กรณีศึกษาการโจมตี - ผู้โจมตีใช้ Alpha Agent และ Splashtop Streamer เพื่อเข้าถึงเครื่องของที่ปรึกษา - ใช้ WinGet ในการอัปเดตและติดตั้งซอฟต์แวร์ที่ช่วยให้สามารถควบคุมเครื่องจากระยะไกล - ติดตั้ง Atera Agent และ Screen Connect เพื่อเพิ่มช่องทางการเข้าถึง - การเชื่อมต่อมาจาก เครื่องเสมือนในศูนย์ข้อมูลสหรัฐฯ ทำให้ยากต่อการตรวจจับ ‼️ ข้อควรระวัง - การโจมตีสามารถเกิดขึ้นได้โดยไม่ต้องใช้มัลแวร์ แต่ใช้เครื่องมือที่มีอยู่ในระบบแทน - ต้องตรวจสอบกิจกรรม PowerShell อย่างสม่ำเสมอ เพื่อป้องกันการใช้คำสั่งที่น่าสงสัย - ควรมีมาตรการป้องกันการเข้าถึงจากระยะไกล เช่น การจำกัดการใช้เครื่องมือควบคุมระยะไกล 🔍 แนวทางป้องกัน ✅ การตั้งค่าการลดพื้นผิวการโจมตี - บล็อกการรันไฟล์ที่ดาวน์โหลดจากอีเมลและเว็บเมล - บล็อกการรันไฟล์ที่ไม่อยู่ในรายการที่เชื่อถือได้ - บล็อกการรันสคริปต์ที่มีการเข้ารหัสหรือซ่อนคำสั่ง - บล็อกการสร้างกระบวนการจากคำสั่ง PSExec และ WMI ‼️ ข้อควรระวังในการตั้งค่าความปลอดภัย - ต้องตรวจสอบการแจ้งเตือนจาก Microsoft Defender อย่างละเอียด เพราะอาจมีข้อมูลผิดพลาด - ควรมีระบบตรวจสอบการใช้เครื่องมือควบคุมระยะไกล เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต - ควรมีการบันทึกและตรวจสอบคำสั่ง PowerShell เพื่อค้นหาพฤติกรรมที่ผิดปกติ 🛡️ การตั้งค่าการตรวจสอบ PowerShell ✅ การเปิดใช้งานการบันทึกคำสั่ง PowerShell - ใช้ Group Policy เพื่อเปิดใช้งาน Script Block Logging - ใช้ Microsoft Intune เพื่อกำหนดค่าการบันทึกคำสั่ง PowerShell - ตรวจสอบ Event ID 4104 ในบันทึกเหตุการณ์เพื่อค้นหาคำสั่งที่น่าสงสัย ‼️ ข้อควรระวังในการตรวจสอบ - ต้องมีระบบกลางสำหรับจัดเก็บและวิเคราะห์ข้อมูล เพื่อให้สามารถตรวจสอบพฤติกรรมที่ผิดปกติได้ - ต้องมีการตรวจสอบคำสั่งที่พยายามเข้าถึง LSASS หรือใช้ Mimikatz เพื่อป้องกันการขโมยข้อมูลรับรอง https://www.csoonline.com/article/4006326/how-to-log-and-monitor-powershell-activity-for-suspicious-scripts-and-commands.html