最強大的惡意軟件工具并非暗網(wǎng)深處的神器，它就藏在每個企業(yè)的“床底下”

PowerShell是一個強大的命令行工具，是微軟公司為Windows環(huán)境開發(fā)的殼程序（shell）及腳本語言技術，讓Windows也擁有了類似UNIX的功能強大的殼程序。但是PowerShell的強大同時也是一柄雙刃劍，成為企業(yè)信息安全的心腹大患。

根據(jù)安全公司CaronBlack的最新研究報告（點擊下面鏈接下載），高達38%的復合惡意軟件軟件攻擊開始將PowerShell作為工具之一。

PowerShell：惡意軟件的新寵 695.15 KB

請登錄下載

攻擊者如此青睞PowerShell的原因是PowerShell在企業(yè)中隨處可見，大多數(shù)安全人士并不會將PowerShell視為安全威脅。這使得PowerShell成為最有效的攻擊模塊之一。PowerShell的腳本能夠在內存中運行，而且不會在磁盤中留下任何文件痕跡，在系統(tǒng)中產生的“動靜”很小，因此往往不會引起人們的注意。根據(jù)CaronBlack的報告，與PowerShell有關的攻擊中，31%的受害企業(yè)都沒有收到安全警報。

PowerShell在惡意軟件攻擊中流行的另外一個原因是為PowerShell編寫腳本的效率很高，比起開發(fā)惡意軟件二進制代碼來說要容易得多，在達到同樣效果的前提下，攻擊者自然愿意選擇PowerShell。

對于PowerShell的惡意使用，目前尚未有效防范手段，因此IT專業(yè)人士需要對企業(yè)內部應用對PowerShell的調用進行更加嚴密的監(jiān)控，記錄PowerShell的活動并通過分析日志來發(fā)現(xiàn)異常行為，創(chuàng)建規(guī)則在發(fā)生異常行為時報警，例如微軟Office應用不會不會在處理中調用PowerShell，因此出現(xiàn)這種情況就需要格外警惕。

安全人士還需要經(jīng)常審視PowerShell的命令行，通常合法腳本的內容和目的都很直觀，而攻擊腳本通常都使用Base64加密命令行，而且經(jīng)常把所有整個腳本團塞在一行中，一眼就能看出異常。