PowerShell — излюбленный инструмент системных администраторов Windows. Данный скриптовый язык позволяет управлять различными сервисами операционной системы и автоматизировать практически все в ней. Но PowerShell очень давно приглянулся не только администраторам, но и плохим ребятам — хакерам и вирусописателям. И причины этому вполне себе очевидные: PowerShell по умолчанию присутствует в серверных и клиентских редакциях ОС Windows, он позволяет напрямую работать с Windows API и, как показывает практика, его использование очень редко ограничивается в корпоративных сетях, так что с его помощью атакующие могут выполнять практически любые действия в системе с минимальным риском быть заблокированными.

Таким образом, ввиду высокой популярности PowerShell среди атакующих и вирусописателей, для специалистов по мониторингу и Threat Hunter-ов крайне актуально и важно уметь выявлять в защищаемых ими инфраструктурах попытки вредоносного использования данного скриптового языка. Именно об этом и пойдет речь в настоящем докладе. Автор продемонстрирует подходы к выявлению вредоносного использования PowerShell на базе различных источников событий, включая как нативные возможности аудита ОС Windows, так и дополнительные инструменты (Sysmon, коммерческие EDR-решения). Какие события необходимо собирать, как отфильтровать ложные срабатывания и какие паттерны могут быть использованы для поиска в собранных событиях попыток нецелевого использования PowerShell — на все эти вопросы слушатели смогут найти ответы в докладе.