安全

  |  手机版

收藏网站

投稿QQ:1745232315

IT专家网,汇聚专业声音 解析IT潮流 IT专家网,汇聚专业声音 解析IT潮流

网络

专家视点在现场环球瞭望
IT专家网 > 安全

PowerShell: 恶意软件的新宠

作者:企业网D1Net出处:论坛2016-04-18 05:50

powershell

  最强大的恶意软件工具并非暗网深处的神器,它就藏在每个企业的“床底下”

  PowerShell是一个强大的命令行工具,是微软公司为Windows环境开发的壳程序(shell)及脚本语言技术,让Windows也拥有了类似UNIX的功能强大的壳程序。但是PowerShell的强大同时也是一柄双刃剑,成为企业信息安全的心腹大患。

  根据安全公司CaronBlack的最新研究报告(点击下面链接下载),高达38%的复合恶意软件软件攻击开始将PowerShell作为工具之一。

  攻击者如此青睐PowerShell的原因是PowerShell在企业中随处可见,大多数安全人士并不会将PowerShell视为安全威胁。这使得PowerShell成为最有效的攻击模块之一。PowerShell的脚本能够在内存中运行,而且不会在磁盘中留下任何文件痕迹,在系统中产生的“动静”很小,因此往往不会引起人们的注意。根据CaronBlack的报告,与PowerShell有关的攻击中,31%的受害企业都没有收到安全警报。

  PowerShell在恶意软件攻击中流行的另外一个原因是为PowerShell编写脚本的效率很高,比起开发恶意软件二进制代码来说要容易得多,在达到同样效果的前提下,攻击者自然愿意选择PowerShell。

  对于PowerShell的恶意使用,目前尚未有效防范手段,因此IT专业人士需要对企业内部应用对PowerShell的调用进行更加严密的监控,记录PowerShell的活动并通过分析日志来发现异常行为,创建规则在发生异常行为时报警,例如微软Office应用不会不会在处理中调用PowerShell,因此出现这种情况就需要格外警惕。

  安全人士还需要经常审视PowerShell的命令行,通常合法脚本的内容和目的都很直观,而攻击脚本通常都使用Base64加密命令行,而且经常把所有整个脚本团塞在一行中,一眼就能看出异常。

相关文章

关键词:PowerShell, 恶意软件 ,网络安全

责任编辑:容心

网警备案