Powershell安全威胁比以往任何时候都大，研究人员警告

根据研究人员，Microsoft'Swindows PowerShellConfiguration Management ManageWontinue由Cyber​​攻击者被滥用，这些攻击者遭到相关威胁的激增。

2016年3月，安全专家警告说，PowerShell已经熟悉武器。在下个月内，一份报告证实，PowerShell于2015年推出了安全Firmcarbon Blackand的38％的网络攻击。

现在发现赛门铁克研究人员分析的超过95％的PowerShell脚本是恶意的，其中111家威胁家庭使用PowerShell。

根据坦率Wueest，赛门铁克的坦率维护，赛门铁克的威胁研究人员，攻击者正在使用框架的灵活性，攻击者正在使用框架的灵活性，攻击者正在使用框架的灵活性。

“这表明外部源泉的掌握脚本是对企业的重大威胁，”他在博客帖子中写道。

研究人员还发现，许多有针对性的攻击组在其攻击链中使用PowerShell，因为它可以轻松访问Microsoft Windows操作系统的所有主要功能。

PowerShell对攻击者也有吸引力，因为它是在运行Windows的计算机上安装的默认情况下，留下了一些痕迹进行分析。这是因为框架可以直接从内存执行有效载荷。

滥用PowerShell通常会更容易，因为大多数组织都无法在其计算机上启用监控和扩展日志，使PowerShell威胁更难检测。

虽然许多系统管理员使用PowerShell脚本进行日常管理任务，但研究人员已经看到攻击者越来越多地利用他们的广告系列框架。

赛门铁克的说法，许多最近有针对性的攻击已经使用了PowerShell脚本。“Odinaff组在全球金融组织袭击金融组织时使用了恶意PowerShell脚本，”Wueest说。

“普通的网络罪犯也在利用PowerShell，例如Trojan.Kotver背后的攻击者，他们使用脚本语言创造一个完全包含在注册表中的无用感染，”他说。

恶意PowerShell脚本主要用作下载者，即Wueest，例如Office宏，以及在横向移动阶段，其中威胁在网络内扩展时在远程计算机上执行代码。

目前使用PowerShell的最普遍的恶意软件系列是W97M.Downloader，Trojan.kotver和JS.Downloader。

在过去的六个月中，赛门铁克表示，它平均阻止了每天具有恶意JavaScript的466,028封电子邮件。

“并非所有恶意javascript文件都使用powershell下载文件，但我们看到框架的使用情况稳步增加，”Wueest说。

“一些最新的下载器攻击使用PowerShell通过多个阶段工作，附加脚本下载另一个脚本，这反过来又下载了有效载荷。攻击者使用这种复杂的感染方法试图绕过安全保护，“他说。

除了下载有效载荷之外，已用于执行各种任务，例如卸载安全产品，检测沙盒环境或嗅探网络的密码。

研究人员发现，PowerShell语言的灵活性允许以多种方式混淆脚本，例如命令快捷方式，转义字符或编码功能。

赛门铁克预计将来会出现更多的权力威胁。“我们强烈建议系统管理员升级到最新版本的PowerShell并启用扩展的日志记录和监控功能，”Wueest说。