PowerShell:惡意軟件的新寵
文章來(lái)源:IT經(jīng)理網(wǎng)
發(fā)布時(shí)間:2016-07-21 17:50:33
最強(qiáng)大的惡意軟件工具并非暗網(wǎng)深處的神器��,它就藏在每個(gè)企業(yè)的“床底下”
PowerShell是一個(gè)強(qiáng)大的命令行工具,是微軟公司為Windows環(huán)境開發(fā)的殼程序(shell)及腳本語(yǔ)言技術(shù)��,讓W(xué)indows也擁有了類似UNIX的功能強(qiáng)大的殼程序��。但是PowerShell的強(qiáng)大同時(shí)也是一柄雙刃劍�,成為企業(yè)信息安全的心腹大患。
根據(jù)安全公司CaronBlack的最新研究報(bào)告(點(diǎn)擊下面鏈接下載)����,高達(dá)38%的復(fù)合惡意軟件軟件攻擊開始將PowerShell作為工具之一。
攻擊者如此青睞PowerShell的原因是PowerShell在企業(yè)中隨處可見���,大多數(shù)安全人士并不會(huì)將PowerShell視為安全威脅�。這使得PowerShell成為最有效的攻擊模塊之一����。PowerShell的腳本能夠在內(nèi)存中運(yùn)行,而且不會(huì)在磁盤中留下任何文件痕跡�����,在系統(tǒng)中產(chǎn)生的“動(dòng)靜”很小�,因此往往不會(huì)引起人們的注意。根據(jù)CaronBlack的報(bào)告�,與PowerShell有關(guān)的攻擊中,31%的受害企業(yè)都沒有收到安全警報(bào)����。
PowerShell在惡意軟件攻擊中流行的另外一個(gè)原因是為PowerShell編寫腳本的效率很高�,比起開發(fā)惡意軟件二進(jìn)制代碼來(lái)說(shuō)要容易得多���,在達(dá)到同樣效果的前提下��,攻擊者自然愿意選擇PowerShell��。
對(duì)于PowerShell的惡意使用�,目前尚未有效防范手段��,因此IT專業(yè)人士需要對(duì)企業(yè)內(nèi)部應(yīng)用對(duì)PowerShell的調(diào)用進(jìn)行更加嚴(yán)密的監(jiān)控��,記錄PowerShell的活動(dòng)并通過(guò)分析日志來(lái)發(fā)現(xiàn)異常行為����,創(chuàng)建規(guī)則在發(fā)生異常行為時(shí)報(bào)警,例如微軟Office應(yīng)用不會(huì)不會(huì)在處理中調(diào)用PowerShell�����,因此出現(xiàn)這種情況就需要格外警惕��。
安全人士還需要經(jīng)常審視PowerShell的命令行�����,通常合法腳本的內(nèi)容和目的都很直觀����,而攻擊腳本通常都使用Base64加密命令行,而且經(jīng)常把所有整個(gè)腳本團(tuán)塞在一行中��,一眼就能看出異常��。
