Bloquer le téléchargement de payloads PowerShell Empire
IntroductionCette contre-mesure vise à empêcher les attaques par téléchargement de payloads via PowerShell Empire, une méthode courante d’exécution de code malveillant à distance
Prérequis• Connaissances avancées de Windows
• Maîtrise des outils système Windows
• Droits administrateur requis
Procédure• Étape #1 : Restreindre l’exécution de scripts PowerShell
• Étape #2 : Désactiver l’accès Internet via PowerShell
• Étape #3 : Appliquer l’AppLocker pour bloquer Empire
• Étape #4 : Renforcer Windows Defender avec des règles ASR
• Étape #5 : Surveiller les commandes PowerShell anormales
Niveau de difficulté• Étape #1 : Facile
• Étape #2 : Moyen
• Étape #3 : Difficile
• Étape #4 : Moyen
• Étape #5 : Facile
Les Avantages• Étape #1 : Réduction des vecteurs d’attaque par script
• Étape #2 : Blocage des communications malveillantes
• Étape #3 : Contournement d’exécution via fichiers externes impossible
• Étape #4 : Arrêt proactif des téléchargements suspects
• Étape #5 : Détection rapide des attaques
Les Inconvénients• Étape #1 : Impact potentiel sur les scripts internes
• Étape #2 : Risque de faux positifs en usage normal
• Étape #3 : Complexité de configuration AppLocker
• Étape #4 : Nécessite Microsoft Defender
• Étape #5 : Dépendance aux journaux disponibles
Étape #1 Restreindre les scripts PowerShell non signés
Empêcher l'exécution de scripts PowerShell
Appliquer la stratégie d'exécution à AllSigned
Code:
Set-ExecutionPolicy AllSigned -Scope LocalMachine -Force
Cela empêche l’exécution de payloads non signés
Réduit fortement les risques d’abus par Empire Étape #2 Bloquer l’accès Internet dans PowerShell Créer une règle de pare-feu pour bloquer PowerShell Cibler les connexions sortantes de powershell.exe
Code:
New-NetFirewallRule -DisplayName "Block PowerShell Outbound" -Program "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -Direction Outbound -Action Block -Profile Any
Code:
secpol.msc
Code:
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled
Code:
Set-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1
AstucePour bloquer les charges utiles via URL dans PowerShell, combiner AppLocker et pare-feu
Code:
New-AppLockerPolicy -XMLPolicy File.xml -RuleType Path -User Everyone
Mise en gardeUne mauvaise configuration d’AppLocker ou ASR peut bloquer des opérations légitimes
Code:
gpupdate /force
ConseilSurveiller les indicateurs d’abus réseau ou système avec des outils comme Sysmon
Code:
Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational"
Solutions alternatives• block powershell empire payload
• applocker windows defender powershell
• asr rules powershell windows 11
Liens utiles• Support Microsoft
• Microsoft Learn
• GitHub Recherche
ConclusionCette contre-mesure empêche activement l’utilisation de PowerShell Empire pour télécharger des payloads. Elle repose sur des restrictions d’exécution, des règles de sécurité avancées et une surveillance proactive] à l’aide de
Code:
commandes de configuration système
Code:
règles de journalisation