Der Vortrag über PowerShell beschreibt, wie Angreifer es missbrauchen, wie Incident Responder und Forensiker diese Angriffe erkennen können – und welche Verteidigungslinien IT-Sicherheitsverantwortliche ziehen können.
Eingangs werden die Phasen echter Angriffe und das Konzept der Post Exploitation vorgestellt; gefolgt von einer Einführung in die technischen Grundlagen von PowerShell und dessen Remoting-Funktion.
Danach wird beleuchtet, welche Eigenschaften PowerShell als Angriffswerkzeug so beliebt machen, und die Eignung für und den Einsatz von PowerShell in echter Schadsoftware und durch Angreifergruppen werden erläutert.
Der Referent stellt kurz öffentlich verfügbare Skriptsammlungen mit offensiven PowerShell-Skripten für Post Exploitation vor, darunter PowerShell Empire.
Der folgende Teil führt allgemein in die Arbeitsspeicher-Forensik ein, die eine relativ neue Untersuchungsmethode für Incident Responder und Forensiker gegen moderne Bedrohungen wie PowerShell-Angriffe ist.
Anschließend wird vorgestellt, mit welchen Methoden Incident Responder und IT-Forensiker PowerShell- Angriffe untersuchen können, darunter die Arbeitsspeicher-Analyse.
Schließlich wird skizziert, durch welche Maßnahmen IT-Sicherheitsverantwortliche ihre Organisationen vor PowerShell-Angriffen schützen können.
Session Category : IT-Sicherheit in der Praxis