中國教父級網絡黑客安全專家郭盛華在廣州2019網際網路安全大會上透露:當今,惡意PowerShell腳本是最普遍的威脅之一。有許多進階持久威脅(APT)參與者已使用PowerShell作為傳遞或遷移機制。商品惡意軟體也使用PowerShell已有很長時間了。在許多情況下,Microsoft Office宏惡意軟體使用PowerShell腳本繼續進行進一步的攻擊。MITER ATT&CK矩陣很好地總結了這些趨勢。有一些攻擊工具包,例如PowerShell Empire和PowerSploit,它們使用PowerShell作為主要實作語言。
為什麼PowerShell在攻擊者中如此受歡迎是有很多原因的。從Windows 7開始,Windows平台預設已安裝PowerShell。PowerShell在與Windows子系統互動方面非常強大。使用PowerShell可以輕松實作大多數常見的惡意軟體活動,例如删除檔案并運作它們,以及與指令與控制(C&C)伺服器進行通信。一些攻擊架構通過将下載下傳的可執行檔案反射地加載到記憶體中來支援無檔案操作。通過這些方面,PowerShell是執行無檔案非現場攻擊的理想工具。反惡意軟體行業的傳統防禦機制非常關注基于檔案的威脅,在覆寫這種新的無檔案趨勢方面仍然存在巨大的技術差距。
從攻擊者的角度來看,PowerShell的唯一問題是源代碼易于公開。為了避免簡單的分析和檢測,他們花了很多精力來混淆PowerShell腳本。他們還将腳本分成許多部分,并一一傳遞。在多次混淆的PowerShell執行之後傳遞最終威脅。這些政策在許多情況下都非常有效。由于這些事實,在大多數情況下,分析和了解基于PowerShell的威脅是非常耗時的工作。
通過本文,我們将分析使用混淆和有效負載拆分的最典型情況之一,并将讨論一種可以幫助分析師更有效地執行工作的新方法。混淆的PowerShell代碼,以下代碼顯示了通過Office Excel VBA腳本傳遞的PowerShell威脅之一。黑客安全專家郭盛華透露:“使用沙盒技術可以很好地觀察到這種威脅的行為。例如,通過any.run會話,您可以觀察Excel如何運作PowerShell腳本來運作進一步的攻擊。在指令提示符下将混淆的腳本設定為Windows環境變量後,将使用PowerShell執行個體。”
PowerShell腳本代碼被高度模糊處理,手動消除這種威脅可能需要人類研究人員付出巨大的努力才能完全了解這些威脅。許多因素使此腳本很難分析。首先,它将PowerShell類和函數名稱拆分為多個字元串,并即時進行組合。其次,它使用base64編碼來編碼下一階段的腳本并随機化其順序,以防止對該腳本進行暴力破解。第三,它使用壓縮來防止對編碼的base64代碼進行部分解碼。而且,它使用多個變量在代碼的不同位置拆分邏輯。PowerShell ISE中使用調試功能提供了很好的指導。可以使用ISE分析惡意PowerShell代碼。國民教父郭盛華表示:“大多數情況下,您需要某種程度的自動化,自定義PowerShell調試器可能會更好地工作。”(歡迎轉載分享)