對(duì)很多IT專業(yè)人士來(lái)說(shuō)，Powershell的確是Windows系統(tǒng)中一個(gè)相當(dāng)強(qiáng)大的工具，而且微軟也有意將PowerShell作為Windows系統(tǒng)的默認(rèn)命令行工具。但賽門(mén)鐵克最近的一份報(bào)告指出，超過(guò)95%的PowerShell腳本實(shí)際上都是惡意腳本。

賽門(mén)鐵克在報(bào)告(傳送門(mén))中指出，絕大部分惡意PowerShell腳本都是扮演下載的角色。當(dāng)然PowerShell腳本的終極目標(biāo)還是要在設(shè)備上執(zhí)行惡意代碼，在整個(gè)網(wǎng)絡(luò)傳播惡意軟件。

絕大多數(shù)PowerShell腳本是惡意腳本

由于PowerShell框架極具靈活性，攻擊者可以濫用它來(lái)下載惡意payload、進(jìn)行惡意偵查、或者是遍歷網(wǎng)絡(luò)。賽門(mén)鐵克分析，95.4%的PowerShell腳本為惡意腳本，這個(gè)結(jié)果表明來(lái)自外部的PowerShell腳本程序?qū)ζ髽I(yè)構(gòu)成了重大威脅，尤其是在使用shell 框架的企業(yè)中。

下載并執(zhí)行遠(yuǎn)程文件的簡(jiǎn)單腳本程序示例

如今的很多針對(duì)性攻擊均使用了Powershell腳本，無(wú)論是Odinaff集團(tuán)發(fā)起的攻擊還是Kovter Trojan木馬作者編寫(xiě)的腳本(都是采用PowerShell)。PowerShell腳本甚至不需要以文件為載體就能感染目標(biāo)，因此越來(lái)越多銀行木馬和其他類型的威脅都選擇了PowerShell。

比如最近有款名為“August”的惡意程序就采用PowerShell進(jìn)行感染，而且并沒(méi)有以文件為載體(傳送門(mén))：在這次攻擊中，惡意腳本企圖竊取身份憑證和敏感文件。它通過(guò)包含惡意宏的word文檔進(jìn)行傳播，一旦打開(kāi)文檔，Powershell命令行就會(huì)啟動(dòng)，然后下載并安裝最終的payload。

賽門(mén)鐵克在例證中特別提到了Nemucod downloader——如果你對(duì)Locky勒索軟件熟的話，應(yīng)該也很清楚Nemucod用的就是PowerShell。不過(guò)實(shí)際上，報(bào)告中一直在強(qiáng)調(diào)，最常與PowerShell匹配的還是Office宏;另外各種Exploit Kits漏洞利用工具也經(jīng)常采用PowerShell，比如說(shuō)相當(dāng)知名的RIG、Neutrino、Magnitude和Sundown。

惡意PowerShell腳本的一些數(shù)據(jù)

我們接收到的樣本數(shù)量在2016年急劇增長(zhǎng)。賽門(mén)鐵克在第二季度收到的樣本數(shù)量是第一季度的14倍，而第三季度更是第二季度的22倍。

基本代碼混淆

賽門(mén)鐵克的這份報(bào)告對(duì)大量樣本進(jìn)行了觀察分析。這些數(shù)據(jù)均來(lái)自賽門(mén)鐵克惡意軟件分析沙盒(Symantec Blue Coat)。在這個(gè)沙盒中，僅今年就有49127例PowerShell腳本提交。而且，安全研究員還手動(dòng)分析了4782例不同的樣本，發(fā)現(xiàn)其中的111個(gè)惡意軟件系列存在濫用PowerShell命令行的情況。而在這111例中，僅有8%的惡意軟件使用了如大小寫(xiě)混合字母之類的混淆技術(shù);沒(méi)有腳本會(huì)對(duì)命令參數(shù)做隨機(jī)化之類的混淆。

研究人員表示，他們觀察到目前比較流行的，正在使用PowerShell、三個(gè)最常見(jiàn)的惡意軟件，分別是W97M.Downloader(在分析樣本當(dāng)中占比9.4%)，Trojan.Kotver(占比4.5%)和JS.Downloader(占比4.0%)。

分析樣本中，最常用的PowerShell命令行參數(shù)是“NOPROFILE”(占比34%)，“WindowsStyle”(占比24%)和“ExecutionPolicy”(占比23%)。

研究人員還提到，在今年觀察的10797個(gè)PowerShell腳本中——也包括那些沒(méi)有惡意的腳本，55%的腳本是以cmd.exe開(kāi)始執(zhí)行的。如果只考慮惡意腳本，95%都是通過(guò)cmd.exe執(zhí)行。不過(guò)，絕大部分宏downloader還沒(méi)運(yùn)行就已經(jīng)被系統(tǒng)禁止了，所以都并不需要賽門(mén)鐵克的行為引擎分析。

針對(duì)已經(jīng)被攻陷的網(wǎng)絡(luò)，攻擊者采用的PowerShell手法注入Invoke-Command、Enter-PSSession、WMI/wmic/Invoke-WMImethod、Task Scheduler，還有PsExe這樣一般的工具。而且為了能夠保證存在的持久性，PowerShell也會(huì)安排任務(wù)、替換啟動(dòng)文件夾中的腳本、采用組策略或者WMI、感染本地配置文件，在注冊(cè)表中存儲(chǔ)腳本(如2014年的Trojan.Poweliks)等。

除此之外，賽門(mén)鐵克的這份報(bào)告還詳細(xì)談到了黑客針對(duì)PowerShell腳本的混淆技術(shù);列出了不少PowerShell惡意程序的相關(guān)信息，包括勒索軟件，鍵盤(pán)記錄器，以及銀行和后門(mén)木馬。有興趣的可點(diǎn)擊這里下載查看完整報(bào)告。

如何應(yīng)對(duì)?

防御此類威脅的最好方法是運(yùn)行最新版本的安全軟件以及Powershell。另外，惡意腳本大都是通過(guò)電子郵件傳播，因此最好是不要打開(kāi)來(lái)自不信任源的腳本、文件或者是鏈接。

公司內(nèi)部的IT專業(yè)人士需要對(duì)企業(yè)內(nèi)部應(yīng)用對(duì)PowerShell的調(diào)用進(jìn)行更加嚴(yán)密的監(jiān)控，記錄PowerShell的活動(dòng)并通過(guò)分析日志來(lái)發(fā)現(xiàn)異常行為，創(chuàng)建規(guī)則，以便在發(fā)生異常行為時(shí)能夠報(bào)警。

另外，我們也應(yīng)該(尤其是安全人士)經(jīng)常審視PowerShell的命令行，通常合法腳本的內(nèi)容和目的都很直觀，而攻擊腳本通常都使用Base64加密命令行，并且經(jīng)常把各種腳本團(tuán)塞在一行內(nèi)，出現(xiàn)這種情況時(shí)，我們一眼就能看出端倪。