PowerShell:恶意软件的新宠

oschina
 oschina
发布于 2016年04月14日
收藏 16

powershell

最强大的恶意软件工具并非暗网深处的神器,它就藏在每个企业的“床底下”

PowerShell是一个强大的命令行工具,是微软公司为Windows环境开发的壳程序(shell)及脚本语言技术,让Windows也拥有了类似UNIX的功能强大的壳程序。但是PowerShell的强大同时也是一柄双刃剑,成为企业信息安全的心腹大患。

根据安全公司CaronBlack的最新研究报告,高达38%的复合恶意软件软件攻击开始将PowerShell作为工具之一。

攻击者如此青睐PowerShell的原因是PowerShell在企业中随处可见,大多数安全人士并不会将PowerShell视为安全威胁。这 使得PowerShell成为最有效的攻击模块之一。PowerShell的脚本能够在内存中运行,而且不会在磁盘中留下任何文件痕迹,在系统中产生的 “动静”很小,因此往往不会引起人们的注意。根据CaronBlack的报告,与PowerShell有关的攻击中,31%的受害企业都没有收到安全警 报。

PowerShell在恶意软件攻击中流行的另外一个原因是为PowerShell编写脚本的效率很高,比起开发恶意软件二进制代码来说要容易得多,在达到同样效果的前提下,攻击者自然愿意选择PowerShell。

对于PowerShell的恶意使用,目前尚未有效防范手段,因此IT专业人士需要对企业内部应用对PowerShell的调用进行更加严密的监 控,记录PowerShell的活动并通过分析日志来发现异常行为,创建规则在发生异常行为时报警,例如微软Office应用不会不会在处理中调用 PowerShell,因此出现这种情况就需要格外警惕。

安全人士还需要经常审视PowerShell的命令行,通常合法脚本的内容和目的都很直观,而攻击脚本通常都使用Base64加密命令行,而且经常把所有整个脚本团塞在一行中,一眼就能看出异常。

稿源:ctocio

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:PowerShell:恶意软件的新宠
加载中

最新评论(18

李文轩
李文轩
目前有个问题,能否有高手给解决?
nt6.1
我注册表HKEY_CLASSES_ROOT/Microsoft.PowerShellScript.1/shell/open/command的值为"C:\Windows\System32\WindowsPowerShell\v1.0\powershell""&\"%1\""
目前在含空格的文件夹里双击ps1文件运行脚本可以实现了。
但是在含$字符或[c-a]这种路径下仍不可。请问应怎么设置?
李文轩
李文轩

引用来自“oneryx”的评论

每天上班开机以后用PowerShell脚本启动所有的开发工具,乘机可以去打杯水。

引用来自“ishiguang”的评论

厉害,哈哈。powershell怎么学习啊
http://www.pstips.net/
http://ss64.com/ps/
uudiin
uudiin
怀疑微软出软件平台的初衷就是为了跑各种后门木马
吾爱
吾爱
3x0 过白可难了
饼干的荣耀
饼干的荣耀
powershell 已经被我彻底精简掉了
猫之良品
猫之良品

引用来自“oneryx”的评论

每天上班开机以后用PowerShell脚本启动所有的开发工具,乘机可以去打杯水。

引用来自“ishiguang”的评论

厉害,哈哈。powershell怎么学习啊

引用来自“oneryx”的评论

https://msdn.microsoft.com/en-us/powershell
其实我不会,哈哈,需要干什么就现查呗。
如果仅仅启动程序把类似下面这个保存成start.ps1就行了。
Start-Process notepad.exe
Start-Process ...

当然可以弄复杂一点,支持参数,快捷方式,分组等等...

引用来自“人生能绕几个圈”的评论

既然是用windows不就为了少用命令行吗?如果要用命令行,那么还用Windows干嘛,用Linux原生的命令行不更强大吗?
命令行什么系统都必须有,它是套好用的工具,只不过对于非高级用户来说命令行不必要。
人生能绕几个圈
人生能绕几个圈

引用来自“oneryx”的评论

每天上班开机以后用PowerShell脚本启动所有的开发工具,乘机可以去打杯水。

引用来自“ishiguang”的评论

厉害,哈哈。powershell怎么学习啊

引用来自“oneryx”的评论

https://msdn.microsoft.com/en-us/powershell
其实我不会,哈哈,需要干什么就现查呗。
如果仅仅启动程序把类似下面这个保存成start.ps1就行了。
Start-Process notepad.exe
Start-Process ...

当然可以弄复杂一点,支持参数,快捷方式,分组等等...
既然是用windows不就为了少用命令行吗?如果要用命令行,那么还用Windows干嘛,用Linux原生的命令行不更强大吗?
返回顶部
顶部