Die Einstellungen für die Skriptsteuerung geben an, wie der Agent die Ausführung von Skripten auf Windows-Geräten handhabt. Fügen Sie Ausnahmen für Skripte hinzu, deren Ausführung Sie zulassen möchten.
Wichtig:
Skriptsteuerung funktioniert nur auf Windows Geräten.
Die Skriptsteuerung in der Geräteschutzrichtlinie definiert, wie der Aurora-Agent mit der Ausführung von Skripten auf Windows-Geräten umgeht. Ziel ist es, potenziell schädliche Skriptausführungen zu erkennen, zu protokollieren oder vollständig zu blockieren, um Angriffsflächen zu minimieren.
Je nach Konfiguration können bestimmte Skripttypen wie PowerShell, VBScript, Office-Makros, Python-Skripte oder auch ältere Excel 4.0 (XLM) Makros automatisch analysiert und entsprechend behandelt werden. Dabei stehen pro Skripttyp verschiedene Kontrollmodi zur Verfügung:
Deaktiviert (Disabled): Keine Kontrolle; Skripte werden uneingeschränkt ausgeführt.
Warnen (Alert): Skripte dürfen ausgeführt werden, werden aber protokolliert.
Blockieren (Block): Die Ausführung der Skripte wird verhindert, außer sie sind explizit zugelassen.
Zusätzliche Optionen wie die Einstufung nach Risiko, das Hochladen zur Bedrohungsanalyse in die Cloud oder die Behandlung besonders großer Skripte (z. B. PowerShell >5MB) ermöglichen eine feinere Steuerung.
Technik: Bezieht sich auf Skriptsprachen wie VBScript und JScript, die häufig in HTML-Inhalten oder älteren Unternehmensanwendungen genutzt werden.
Szenario: Angreifer nutzen eingebettete Active Scripts z. B. in HTML-E-Mails oder Webseiten, um Payloads herunterzuladen oder auszuführen.
Aurora Schutz: Erkennt die Ausführung solcher Scripts, bewertet das Verhalten und kann die Ausführung je nach Richtlinie blockieren oder nur protokollieren.
Technik: Windows-Befehlszeilensprache und Automatisierungsplattform, oft genutzt in der Systemadministration.
Szenario: Angreifer nutzen PowerShell für dateilose Angriffe (Fileless Malware), z. B. zum Nachladen von Code oder für Reconnaissance.
Aurora Schutz: Überwacht PowerShell-Skripte (auch per Base64 kodierte Inhalte), erkennt riskantes Verhalten wie Netzwerkanfragen oder Speicherzugriffe.
Technik: Bezieht sich auf die interaktive Nutzung von PowerShell durch Nutzer oder Skripte.
Szenario: Ein Angreifer erhält Zugriff auf eine PowerShell-Konsole und verwendet sie zur direkten Interaktion mit dem System.
Aurora Schutz: Die Konsole kann unabhängig vom reinen Skriptblock deaktiviert oder überwacht werden, um interaktive Angriffe zu erkennen.
Technik: Automatisierung über Visual Basic for Applications (VBA) in Word, Excel, etc.
Szenario: Dokumente mit eingebetteten Makros werden als Phishing-Anhang versendet – das Makro lädt beim Öffnen Schadsoftware nach.
Aurora Schutz: Erkennung von verdächtigen Makroaktionen wie Dateioperationen, Netzwerkanfragen oder Shell-Befehlen; Ausführung kann blockiert werden.
Technik: Python-basierte Werkzeuge und Skripte können in Unternehmensumgebungen eingesetzt oder missbraucht werden, z. B. zur Automatisierung von Angriffen.
Szenario: Angreifer nutzen Python für automatisierte Angriffe.
Aurora Schutz: Überwacht die Ausführung von .py-Dateien sowie Prozesse, die Python-Interpreter starten, inkl. Verhaltenserkennung und Bedrohungsbewertung.
Technik: Microsofts Erweiterung des .NET-Frameworks für dynamische Sprachen wie IronPython oder IronRuby.
Szenario: Angreifer nutzen DLR zur Laufzeitkompilierung von Schadcode oder dynamischer Manipulation innerhalb .NET-Anwendungen.
Aurora Schutz: Analyse und Kontrolle von DLR-Ausführungen, insbesondere bei untypischen .NET-Prozessen oder Skripten mit verdächtigem Verhalten.
Technik: Alte Makrosprache aus den frühen Excel-Versionen, aber immer noch in modernen Excel-Dateien lauffähig.
Szenario: Excel-Dateien mit XLM-Makros enthalten automatisierte Funktionen zur Codeausführung, oft schwerer zu analysieren.
Aurora Schutz: (Preview-Funktion) Erkennt XLM-Makros, blockiert deren Ausführung oder warnt den Administrator – erfordert Windows 10+ und Agent-Version ≥ 3.1.
Wenn die Option „Alle Skripte bewerten“ aktiviert ist, werden Active Script- und PowerShell-Skripte unabhängig vom Kontrollmodus analysiert. Zusätzlich können unbekannte Skripte zur tiefer gehende Analyse in die Cloud hochgeladen werden. Mit der Einstellung „Nur bei verdächtiger Skriptausführung warnen“ werden Alarme nur bei riskantem Verhalten ausgelöst. Für besonders große Skripte können separate Richtlinienaktionen definiert werden.
Wichtig:
In den Script Control-Einstellungen von Aurora Endpoint Security können Administratoren Ausnahmen definieren, um bestimmte Skripte oder Prozesse von der Überwachung auszunehmen. Dies ist besonders nützlich für legitime Anwendungen wie SCCM, die Skripte ausführen müssen. Wildcards ermöglichen flexible Pfadangaben, z. B. /users//temp/*.ps1, um Skripte in Benutzerverzeichnissen auszuschließen. Auch Prozesse können anhand ihres Namens oder Pfades von der Kontrolle ausgenommen werden. Alternativ können spezifische Skripte über ihren SHA256-Hash oder signierte Zertifikate zur Positivliste hinzugefügt werden, wobei Letzteres nur für PowerShell- und Active Scripts gilt.
Beispiele:
