ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1086

术语表: /attack/glossary

PowerShell

PowerShell 是 Windows 操作系统中一个强大的交互式命令行界面和脚本环境。 攻击者可以使用 PowerShell 执行许多操作,包括披露信息和执行代码。示例包括可以运行可执行文件的 Start-Process cmdlet 和在本地或远程计算机上运行命令的 Invoke-Command cmdlet。PowerShell 还可以用于从 Internet 下载和运行可执行文件,这些文件可以从磁盘或内存中(无需接触磁盘)执行,使用 PowerShell 连接远程系统需要管理员权限。目前已有许多基于 PowerShell 的攻击测试工具,包括 Empire、PowerSploit、 和 PSAttack。

缓解

在不需要的时可以从系统中删除 PowerShell,但是应该进行审查以评估对环境的影响,因为它可以用于许多合法目的和管理功能。 当需要使用 PowerShell 时,将 PowerShell 执行策略限制为管理员,并仅执行签名脚本。 请注意存在可以绕过 PowerShell 执行策略的方法,具体取决于环境配置。 禁用/限制 WinRM 服务,以帮助防止将 PowerShell 用于远程执行。

检测

在设置了适当的执行策略的情况下,如果攻击者通过注册表或命令行获得管理员或系统访问权,那么他们可能能够定义自己的执行策略。 这种系统上的策略更改可能是检测恶意使用 PowerShell 的一种方法。 如果环境中没有使用 PowerShell,则只需查找 PowerShell 执行即可检测恶意活动。 启用 PowerShell 日志记录还有助于提高执行过程中的准确度。 PowerShell 5.0 引入了增强的日志记录功能,其中一些功能已添加到 PowerShell 4.0 中。 早期版本的 PowerShell 日志记录功能并不多。 组织可以在数据分析平台中收集 PowerShell 的执行细节,作为 PowerShell 日志的补充。