Procurando por execuções mal-intencionadas do PowerShell com o Intercept X
O Intercept X Advanced com EDR agora captura todas as execuções do PowerShell para que possam ser revisadas e analisadas.
O PowerShell é ruim? Não necessariamente. Na verdade, a maioria das execuções do PowerShell não é mal-intencionada, mas o PowerShell pode ser (e muitas vezes é) aproveitado para esses fins.
Os novos recursos de EDR da Sophos oferecem a capacidade de rastrear execuções maliciosas que, de outra forma, poderiam permanecer ocultas. Por exemplo, execuções que usam o argumento de comando codificado têm maior probabilidade de estar associadas a um mau comportamento e são menos comuns em boas execuções.
Com o Intercept X Advanced com o EDR 1.1, os analistas podem pesquisar facilmente os comandos do PowerShell, incluindo os argumentos de comando codificados.
Você pode procurar outras execuções suspeitas do PowerShell além de comandos codificados, como bypass de diretiva (-Exec Bypass), informações ausentes (-NoLogo, -NoProfile) e muito mais.
Esses novos recursos também foram adicionados ao Intercept X Advanced for Server com o EAP (EDR Early Access Program) para que os participantes possam começar a usar esses novos recursos em seus servidores.
Recursos do PowerShell incluídos anteriormente no Intercept X
O Intercept X já bloqueia atividades maliciosas conhecidas do PowerShell. O recurso Bloqueio de aplicativos encerra automaticamente um aplicativo protegido com base em seu comportamento. Por exemplo, quando um aplicativo do Office é usado para iniciar o PowerShell, acessar o WMI, executar uma macro para instalar código arbitrário ou manipular áreas críticas do sistema, o Sophos Intercept X bloqueia a ação mal-intencionada – mesmo quando o ataque não gera uma processo filho. Ele também impedirá execuções de código do PowerShell mal-intencionado por meio do Dynamic Data Exchange também.
Finalmente, se o PowerShell parece estar envolvido com uma detecção, ele é referenciado em um Caso de Ameaça onde a linha de comando executada pode ser analisada.
Saiba mais sobre como explorar a proteção com o Intercept X. Entre em contato com a SdRedes e confira nossas soluções.
