攻防演练中无文件入侵PowerShell的破解之道
发布时间:2021-06-08 19:11:56 所属栏目:安全 来源:互联网
导读:1. 为什么攻击者选用PowerShell? 攻击者使用PowerShell更容易将系统暴露于勒索软件、无文件恶意软件和恶意代码注入内存的威胁中,使得安全风险大大提高。此外,PowerShell还有以下特点: (1) 规模和范围 PowerShell是Windows XP及更高版本Windows操作系统的
|
1. 为什么攻击者选用PowerShell?
攻击者使用PowerShell更容易将系统暴露于勒索软件、无文件恶意软件和恶意代码注入内存的威胁中,使得安全风险大大提高。此外,PowerShell还有以下特点:
(1) 规模和范围
PowerShell是Windows XP及更高版本Windows操作系统的内置功能。同时,它还是可以在Linux上运行的开源、跨平台框架。
(2) 合法使用性
PowerShell本身并不是恶意的,它实际上是一个合法的工具。但它的使用和滥用会模糊被用来恶意攻击或感染系统、或用来完成IT/系统管理任务之间的界限。
(3) 编写、运行容易
对于许多IT/系统管理员、信息安全专业人员、渗透测试人员和黑帽黑客来说,编写和运行PowerShell脚本相对容易。
(4) 简单混淆
PowerShell脚本不仅易于编写,PowerShell的灵活性以及第三方模块的可用性使得混淆它们相对简单。
(5) 功能特性
PowerShell可以虚拟地访问大量的应用程序接口(api)来执行重要的功能,如VirtualAlloc、VirtualProtect和CreateThread,所有这些都可能被攻击者滥用。
图 PowerShell攻击链路
通常情况下,PowerShell在默认情况下受到限制,以减少其滥用。但我们仍然可以看到一些携带PowerShell脚本的恶意软件使用技术绕过PowerShell的默认执行策略,例如将恶意代码作为命令行参数运行。正是由于以上的特性,攻击者越来越喜欢使用PowerShell进行无文件攻击,以完成威胁目的。
2. 无文件攻击注入形式
一般来讲,注入攻击不仅可以用于在不知道用户名和密码的情况下登录应用程序,还可以暴露私人、机密或敏感信息,甚至可以劫持整个服务器。而无文件攻击的注入是在内存层进行的,包括如下四种形式:
(1) 反射性自我注入
反射加载是指从内存而不是从磁盘加载可移植的可执行文件(PE)。一个精心制作的函数/脚本可以反射地加载可移植的可执行文件,而无需在流程中注册为已加载的模块,因此可以执行操作而不会留下痕迹。PowerShell是用于执行这些精心编写的脚本的最广泛使用的应用程序之一。此事件表示一种无文件攻击,其中PowerShell脚本试图将PE注入到PowerShell进程本身。
 (编辑:阜新站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
