欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

PowerShell若干问题的研究

来源:本站整理 作者:佚名 时间:2019-10-07 TAG: 我要投稿

一、PowerShell简介
PowerShell是一种基于任务的命令行shell和脚本语言,构建于.NET之上,通常用于管理基于Microsoft Windows的操作系统的技术(Linux和MacOS也可以使用)。Windows PowerShell的内置命令为cmdlets,用户可以使用其管理计算机,其具有完整的用户开发的脚本语言和丰富的表达式解析程序。
二、攻击者使用Powershell的原因
Powershell深受攻击者的喜爱,许多目标攻击在攻击链中使用了PowerShell,使用其作为下载器。本文在阅读了大量相关文献的基础上,对攻击者乐于使用Powershell的原因进行了总结,如下:
1.普适性强:PowerShell默认安装在Windows机器上(从Windows 7 SP1开始,操作系统默认安装);
2.易用性好:PowerShell代码易于动态生成;同时,可以很容易地嵌入恶意软件向量中,例如Office文档(通过使用宏);
3.多功能性:可以对操作系统主要功能进行访问;
4. 隐秘性强:
(1)几乎没有留下可以追踪的痕迹,框架可以直接从内存中执行有效负载;
(2)缺乏日志记录,PowerShell日志默认不能使用,通常不会在计算机上启动监视或扩展记录。许多后台操作不可见,恶意脚本代码易于远程传播;
(3)易于混淆:自动化的工具可以大量反复地混淆PowerShell代码,使静态分析变得不可行;
(4)可绕过应用程序白名单;
(5)管理员信任,使得PowerShell恶意软件与日常管理融为一体。
三、PowerShell检测方法
由于PowerShell的极易被混淆,我们在文献[1]中发现了PowerDrive,一个自动开源系统,用于对PowerShell恶意文件进行去混淆和分析。通过对数千个恶意代码的分析,获得了一些有趣的见解,例如:PowerShell使用的混淆处理方法的统计特征规律。此外,PowerDrive可以通过多层递归对PowerShell脚本进行去混淆处理。文中提供了PowerDrive源码,并证明其去混淆效果优异,但所使用的数据集链接已失效。PowerDrive可以与其他系统集成,提供有关PowerShell恶意软件功能的其他信息。
同时,在使用机器学习检测方面,在文献[2]中,作者选择了66388个不同的PowerShell命令,其中6290个标记为恶意,60098个标记为良性。使用部分数据集进行训练,部分进行验证。实施了三种深度学习模型,结果得出结合NLP-based classifier和CNN-based classifier表现出了更好的性能。有些混淆模式用NLP-based无法检测出来。
四、Powershell漏洞利用代理工具
Empire最大的特点是以PowerShell脚本作为攻击载荷,而且Empire实现了无需powershell.exe就可运行PowerShell代理功能。具体Empire平台的搭建文档见链接[3],网上已有很多实验报告,这里对简单的安装不做赘述,仅对未提到的“坑”及注意点进行整理如下:
1.在Empire安装的过程中,需使用root账户进行实验。
2.在执行完毕安装过程输入./empire启动Empire时,查看是否可以成功进入。
遇到问题:输入./empire启动Empire报错,缺少OpenSSL
解决方法:使用pip install命令进行安装,发现pip报错,重新安装了pip
sudo apt-get remove python-pip
sudo apt-get autoremove
sudo install pip
sudo pip install pyopenss
本以为已经可以了,结果运行./empire继续报错。
遇到问题:遇到了很多次Import Error: No module named xx 问题
解决方法:sudo pip install xx,最终终于安装好了。
3.在建立监听过程中,需要使用Empire所在主机的ip作为Host地址。
五、宏与powershell结合
PowerShell还可用于APT攻击中。例如,在污水攻击中,利用了宏与PowerShell构建了APT攻击,具体过程如下:
(1)使用精心构造的钓鱼文档,诱使目标人员打开文档启用宏;
(2)文档宏执行后,向文件系统写入脚本及编码过的PowerShell文件;
(3)加载脚本,解码PowerShell文件执行,与C&C进行通信。
我们以一个简单的例子对宏代码进行分析(样本文件附后[3]),这里启用宏后使用word中的开发功能VBA进行对宏代码的读取(也可使用oledump.py对宏代码进行提取)。
若工程已被加密,请参考文章[4],其中提供了可解密工具VBA Password Bypasser,可解密多数工程。
(一)代码逐句解析
第一部分,可以理解为日志上传过程:


第二部分,可以理解为文档与模板相互感染的过程:


(二)代码逻辑关系梳理
第一部分,日志上传过程:
1.在日期为1号并且注册表中LogFile的值为False时(日志文件没有上传到服务器的时候),若在文档/模板宏代码中找到标记Marker(Marker即为感染标识),则截取当前文档/模板从“LogFile—>”开始的内容即为日志文件内容,存入LogFlie路径所在的文件中。
2.c:\netldx.vxd为ftp的配置文件,其中内容为登录服务209.201.88.110,并将日志文件传到服务器上。
3.注册表中LogFile的值设置为True,表示已上传。
第二部分,文档与模板相互感染的过程:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载