👻
security
  • 计算机技术
  • OWASP TOP 10
  • 名词解释
  • 1
    • 常见端口利用
    • F5 big-ip从环境搭建到漏洞复现
    • 红队资源
  • About
    • APT
      • 海莲花(APT-C-00)
        • 样本分析
      • 毒云藤(APT-C-01)
        • 大规模钓鱼攻击活动披露
        • 2020上半年针对我重要机构定向攻击活动揭秘
      • 响尾蛇(T-APT-04)
        • 利用WebSocket隧道的新型攻击活动披露
      • 蔓灵花(APT-C-08)
        • 移动平台攻击活动揭露
      • 蓝宝菇(APT-C-12)
        • 组织使用云存储技术发起的最新攻击活动披露
      • 双尾蝎组织(APT-C-23)
        • 针对中东地区的最新攻击活动
      • Lazarus(APT-C-26)
        • 暴风行动 -利用MATA框架针对数字货币行业的攻击活动揭秘
      • Fancy Bear(APT-C-28)
        • 携小众压缩包诱饵对北约、中亚目标的定向攻击分析
      • 肚脑虫组织(APT-C-35)
        • 使用升级版数字武器针对周边地区的攻击活动
        • 针对巴基斯坦的攻击活动
      • 拍拍熊(APT-C-37)
      • 军刀狮(APT-C-38)
      • 蓝色魔眼(APT-C-41)
        • 组织首次针对我国重要机构定向攻击活动披露
      • 美人鱼(Infy)
        • 使用最新的Foudre后门进行攻击活动的分析
    • 各类靶场讲解
      • sqli-labs
      • upload-labs
      • xss-labs
    • CISP题库
    • Docker
      • Docker基线
        • docker基线-概述
        • 推荐一
        • 推荐二
        • 推荐三
        • 推荐四
        • 推荐五
        • 推荐六
      • 命令与选项
      • 基于Docker的固件模拟
      • 固件相关
      • Docker 私有仓库搭建
      • 基础命令的背后
      • 渗透思路调研
      • Docker容器环境检测方法【代码】
    • 浏览器
    • markdown
    • 密码学
    • 内网渗透TIPS
    • 网络扫描
    • 正则表达式
  • 操作系统
    • Android
      • APK终端安全分析法
      • 应用审计指南
        • 通用审计方法
    • IOS
      • 应用审计指南
    • Linux
      • 反弹shell
      • 基线检查
      • SHELL编程
      • 实战技能
    • windows
      • BACKDOOR with 权限维持
      • 磁盘取证实验
      • 基线检查
      • 免杀抓取明文
      • payload下载方式
      • powershell
      • 日志分析
        • 分析工具
      • Untitled
  • 数据库
    • db2
    • mysql
      • webshell写入
      • 基础知识
      • 核心技术
      • 高级应用
    • oracle
      • webshell写入
    • SQLserver
      • webshell写入
  • 中间件
    • apache
      • 基线检查
      • 日志审计
    • iis
      • 基线检查
      • 7.5解析绕过漏洞
    • nginx
      • 基线检查
    • tomcat
      • 基线检查
  • 编程语言
    • C
    • Java
      • webshell
        • 查杀Java web filter型内存马
        • Filter/Servlet型内存马的扫描抓捕与查杀
        • 基于内存 Webshell 的无文件攻击技术研究
        • 基于tomcat的内存 Webshell 无文件攻击技术
        • Tomcat 内存马检测
      • 代码审计
      • 代码审计指南
      • 浅析Java命令执行
      • 相关框架简介及漏洞
    • PHP
      • 代码审计
      • 破解DVWA-admin密码
      • webshell
        • 常见php一句话webshell解析
        • PHP Webshell Hidden Learning
        • Webshell免杀研究
        • Webshell那些事-攻击篇
        • 过D盾webshell分享
      • 相关框架简介及漏洞
    • python
      • 安全编码规范-代码审计
      • 编码规范
      • fishc
      • 某教程涉及脚本
      • POC编写相关
      • python秘籍
        • 上半部分
        • 下半部分
      • 安全方面的内容
        • Python Opcode逃逸笔记
        • 虚拟机逃逸
      • with-EXCEL
      • 相关框架简介及漏洞
      • 源码剖析
        • 多线程和GIL锁
        • Set容器
        • 统一内存管理
        • 信号处理机制
        • 循环垃圾回收器
        • 字符串对象PyStringObject
        • 整数对象PyIntObject
        • 字节码和虚拟机
    • 汇编
    • Javascript
      • Tampermonkey Script
  • AIGC
    • howtouse
  • 网络
    • CCNA
  • 漏洞类型及讲解
    • 综合
    • 技术分享
      • 暴力破解与信息泄露
      • 信息泄露漏洞_java
      • sqli-with-java
      • python远程命令执行与SSRF
    • SQL-Injectoin
    • Cross-Site Scripting
      • 跨站的艺术-XSS入门与介绍
      • 跨站的艺术-XSS Fuzzing 的技巧
      • 给开发者的终极XSS防护备忘录
      • AngularJS特性的 XSS
    • 文件操作
      • 文件包含
  • how-to-use
    • Acunetix(AWVS)
      • 安装到使用
      • 编写AWVS脚本探测web services
      • 简单分析-web方面
      • 流量分析特征
    • burpsuite
      • 导出报告方式
      • captcha-killer
      • FAKE-IP
      • JSFind
      • 编写插件绕过WAF
    • Cobalt Strike
      • Cobalt Strike Powershell过360+Defender上线
    • FOFA
    • GDB
    • PowerSh
      • 获得Powershell命令的历史记录
      • 深入分析PowerShell的两面性
      • 内网渗透利器之PowerSploit
      • PoC:滥用PowerShell Core
      • 如何绕过PowerShell访问限制并实现PowerShell代码执行
      • 工具包
      • 无powershell运行powershell方法总结
    • sheji
    • sqlmap
      • Atlas修改SQLMap tampers 绕过WAF/IDS/IPS
      • 内核分析
      • 检测剖析
      • tamper
      • UDF
      • --os-shell
      • sqlmapapi
      • with burp
      • 网络特征
    • Matlab
    • Metasploit
      • 与Powershell
    • NESSUS
      • 流量分析特征
      • Untitled
    • Network MapTools
      • 流量特征修改
      • 识别主机指纹
    • waf
      • ngx-lua-waf
      • modsecurity
由 GitBook 提供支持
在本页
  • 滥用PowerShell Core PoC
  • Windows: DownloadFile场景
  • Linux and mac OS: DownloadString场景
  • Windows: 滥用MultiPoolMiner和PowerShell Core
  • 最佳实践

这有帮助吗?

  1. how-to-use
  2. PowerSh

PoC:滥用PowerShell Core

上一页内网渗透利器之PowerSploit下一页如何绕过PowerShell访问限制并实现PowerShell代码执行

最后更新于4年前

这有帮助吗?

滥用PowerShell的威胁还在不断增长,攻击者在不断寻找新的方式滥用PowerShell来传播银行木马、后门、勒索软件和加密货币挖矿恶意软件,以及最近的无文件恶意软件和恶意WMI记录。

事实上,PowerShell的灵活性和强大的功能使其成为网络犯罪分子的潜在工具。比如,PowerShell可以被滥用来在被入侵的网络中“内网漫游”(lateral movement)和保持驻留。

2018年1月,微软发布PowerShell Core,PowerShell Core是为异类环境和混合云而构建的跨平台(Windows、macOS 和 Linux)且开源的新版 PowerShell。因为PowerShell Core可能会和PowerShell一样被滥用用于攻击其他操作系统平台。

研究人员列举了一些攻击者可能滥用PowerShell Core的策略。这些POC可以帮助更好的理解、检测和预防潜在的威胁。研究人员利用PowerShell Core开发的PoC可以在Windows、Linux和mac OS上运行。研究人员使用的攻击者技术大多是来自于之前基于PowerShell的功能。

但是要想成功滥用PowerShell Core,还需要注意一些事项。比如,PowerShell Core并非在所有平台都是默认安装的,也就是说恶意软件创建者不能轻易的入侵没有安装PowerShell Core的机器。对unix和类Unix系统,文件系统的差异需要黑客添加一或两行代码才能执行恶意软件。比如,下载的ELF文件并不是可执行文件,要执行的话就需要对其属性进行修改。PowerShell Core的功能还在开发中,因为其应对滥用的安全机制也就比较弱。

PowerShell Core可以安装在Windows 7之后的Windows操作系统,Linux (Kali, Fedora 27/28, Ubuntu等),macOS 10.12+ (Sierra及之后的操作系统),Windows IoT和Nano服务器。

滥用PowerShell Core PoC

Windows: DownloadFile场景

感染链是从一封垃圾邮件中的恶意附件开始的。在开启了文件的宏内容后,一个命令行和PowerShell Core脚本就会运行来下载和执行payload。

PoC:滥用PowerShell Core

图1. 在Windows操作系统中滥用PowerShell Core DownloadFile的感染链

图2 用DownloadFile来提取payload的样本PowerShell Core脚本

Linux and mac OS: DownloadString场景

因为Linux和macOS terminal是一样的,因此滥用PowerShell Core的威胁在这两个操作系统是上都可以运行。假设恶意软件是通过垃圾邮件或漏洞利用到达的,可以创建一个PowerShell脚本来完成final payload的下载和执行。通过terminal执行的初始脚本会下载另一个可以提取final payload的PowerShell Core脚本,并修改其属性为executable。这就是为什么通过terminal或PowerShell Core脚本下载的文件在Linux和macOS系统中默认是不可执行的。

图3. 在Linux和macOS中滥用PowerShell Core DownloadString的感染链

图4. 使用DownloadString来提取payload的样本PowerShell Core脚本

图 5 下载的用来提取和执行final payload的PowerShell脚本

Windows: 滥用MultiPoolMiner和PowerShell Core

PowerShell Core可以与其他合法或灰色工具一起被滥用。对加密货币挖矿相关的活动,研究人员测试了开源工具MultiPoolMiner,该工具需要PowerShell Core才能正常运行。

研究人员在复现过程中,首先检查MultiPoolMiner包的start.bat文件,其中包括默认的命令和参数。进一步分析发现它会通过PowerShell Core(pwsh)来执行命令。如果系统中没有安装,就下载和安装PowerShell Core,然后继续执行。

图6. MultiPoolMiner的Start.bat会下载和执行PowerShell Core

在执行了batch文件后,开始检查系统的说明并下载所有支持的挖矿机应用和benchmark。这是为系统安装最优的加密货币挖矿机。下图是benchmark和加密货币挖矿进程执行的过程。

图7. MultiPoolMiner的benchmark和加密货币挖矿进程

最佳实践

考虑到PowerShell Core被滥用带来的影响,研究人员建议用户采用最佳实践来减少滥用PowerShell Core带来的威胁:

· 应用行为监控这样的安全机制,这可以帮助检测、监控和预防系统中执行的恶意活动。好的行为监控系统不仅可以拦截恶意软件相关的行为,还可以监控和预防不寻常的行为,比如文档中的恶意宏唤醒PowerShell Core。

· 深度防御。沙箱可以提供多一层的安全防护。应用防火墙、IDPS系统都可以帮助阻止C2通信和数据泄露这样的行为。

· 应用最新的补丁来预防漏洞被利用。

· 最小权限原则。限制PowerShell和PowerShell Core的使用,移除或禁用非必须的和过时的插件和组件,以减小系统的攻击面。

PoC:滥用PowerShell Core
PoC:滥用PowerShell Core
PoC:滥用PowerShell Core
PoC:滥用PowerShell Core
PoC:滥用PowerShell Core
PoC:滥用PowerShell Core