Disclaimer
Questo post è nato dall’ispirazione che mi è venuta dopo la lettura di questo articolo (PowerShell ♥ the Blue Team) e di quest’altro (Hunting for Malicious PowerShell using Script Block Logging) del quale consiglio caldamente la lettura per contestualizzare maggiormente il focus.
TL;DR
Per abilitare la trascrizione dei comandi powershell aprire la console delle GPO e navigare verso
Computer Configuration
|--> Administrative Templates
|--> Windows Components
|--> Windows PowerShell
e fare doppio click su “Turn on PowerShell Transcription”.
Fare click su “Enable” ed inserire la directory di destinazione dove salvare le trascrizioni. Settare il flag “Include invocation headers” il quale serve a registrare, oltre al comando stesso, anche la data di quando questo è stato eseguito.
Perché?
Sebbene la trascrizione dei comandi PowerShell non (credo) sia nata per una questione legata al mondo della security, abilitarla può fornire uno strumento di logging aggiuntivo per questo scopo.
Oltre alle trascrizioni degli script è possibile abilitare anche
- il logging dei moduli (Module Logging) per ricavare le trascrizioni dei comandi e parti dello script invocati
- il logging relativo alla registrazione di un blocco degli script (Script Block Logging) il quale permette la registrazione deoffuscata dei comandi registrati tramite script o funzioni
EOF