PowerShell in der Post Exploitation – Grundlagen, Angriffe, Forensik, Verteidigung

14:00 - 15:00

Hörsaal 1

Der Vortrag über PowerShell beschreibt, wie Angreifer es missbrauchen, wie Incident Responder und Forensiker diese Angriffe erkennen können – und welche Verteidigungslinien IT-Sicherheitsverantwortliche ziehen können. Eingangs werden die Phasen echter Angriffe und das Konzept der Post Exploitation vorgestellt; gefolgt von einer Einführung in die technischen Grundlagen von PowerShell und dessen Remoting-Funktion. Danach wird beleuchtet, welche Eigenschaften PowerShell als Angriffswerkzeug so beliebt machen, und die Eignung für und den Einsatz von PowerShell in echter Schadsoftware und durch Angreifergruppen werden erläutert. Der Referent stellt kurz öffentlich verfügbare Skriptsammlungen mit offensiven PowerShell-Skripten für Post Exploitation vor, darunter PowerShell Empire. Der folgende Teil führt allgemein in die Arbeitsspeicher-Forensik ein, die eine relativ neue Untersuchungsmethode für Incident Responder und Forensiker gegen moderne Bedrohungen wie PowerShell-Angriffe ist. Anschließend wird vorgestellt, mit welchen Methoden Incident Responder und IT-Forensiker PowerShell- Angriffe untersuchen können, darunter die Arbeitsspeicher-Analyse. Schließlich wird skizziert, durch welche Maßnahmen IT-Sicherheitsverantwortliche ihre Organisationen vor PowerShell-Angriffen schützen können.

Hinweis zum Archivinhalt: Dieser Konferenzbeitrag wurde in einem der vergangenen Jahre gehalten und befindet sich daher in unserem Archiv. Wenn Sie weitere Informationen zu diesem Vortrag wünschen, können Sie uns gerne kontaktieren!

Ausrichter

Hochschule Stralsund Sund-Xplosion

Sponsoren/Praxispartner

Alcatel-Lucent Enterpise Germany Cratos Digitales MV Steinbeis Tedesio WIIT