最强大的恶意软件工具并非暗网深处的神器,它就藏在每个企业的“床底下”
PowerShell是一个强大的命令行工具,是微软公司为Windows环境开发的壳程序(shell)及脚本语言技术,让Windows也拥有了类似UNIX的功能强大的壳程序。但是PowerShell的强大同时也是一柄双刃剑,成为企业信息安全的心腹大患。
根据安全公司CaronBlack的最新研究报告,高达38%的复合恶意软件软件攻击开始将PowerShell作为工具之一。
攻击者如此青睐PowerShell的原因是PowerShell在企业中随处可见,大多数安全人士并不会将PowerShell视为安全威胁。这 使得PowerShell成为最有效的攻击模块之一。PowerShell的脚本能够在内存中运行,而且不会在磁盘中留下任何文件痕迹,在系统中产生的 “动静”很小,因此往往不会引起人们的注意。根据CaronBlack的报告,与PowerShell有关的攻击中,31%的受害企业都没有收到安全警 报。
PowerShell在恶意软件攻击中流行的另外一个原因是为PowerShell编写脚本的效率很高,比起开发恶意软件二进制代码来说要容易得多,在达到同样效果的前提下,攻击者自然愿意选择PowerShell。
对于PowerShell的恶意使用,目前尚未有效防范手段,因此IT专业人士需要对企业内部应用对PowerShell的调用进行更加严密的监 控,记录PowerShell的活动并通过分析日志来发现异常行为,创建规则在发生异常行为时报警,例如微软Office应用不会不会在处理中调用 PowerShell,因此出现这种情况就需要格外警惕。
安全人士还需要经常审视PowerShell的命令行,通常合法脚本的内容和目的都很直观,而攻击脚本通常都使用Base64加密命令行,而且经常把所有整个脚本团塞在一行中,一眼就能看出异常。