PowerShell

PowerShell 是 Windows 操作系统中一个强大的交互式命令行界面和脚本环境。 攻击者可以使用 PowerShell 执行许多操作，包括披露信息和执行代码。示例包括可以运行可执行文件的 Start-Process
cmdlet 和在本地或远程计算机上运行命令的 Invoke-Command
cmdlet。PowerShell 还可以用于从 Internet 下载和运行可执行文件，这些文件可以从磁盘或内存中（无需接触磁盘）执行，使用 PowerShell 连接远程系统需要管理员权限。目前已有许多基于 PowerShell 的攻击测试工具，包括 Empire、PowerSploit、 和 PSAttack。

缓解

在不需要的时可以从系统中删除 PowerShell，但是应该进行审查以评估对环境的影响，因为它可以用于许多合法目的和管理功能。
当需要使用 PowerShell 时，将 PowerShell 执行策略限制为管理员，并仅执行签名脚本。
请注意存在可以绕过 PowerShell 执行策略的方法，具体取决于环境配置。
禁用/限制 WinRM 服务，以帮助防止将 PowerShell 用于远程执行。

检测

在设置了适当的执行策略的情况下，如果攻击者通过注册表或命令行获得管理员或系统访问权，那么他们可能能够定义自己的执行策略。
这种系统上的策略更改可能是检测恶意使用 PowerShell 的一种方法。
如果环境中没有使用 PowerShell，则只需查找 PowerShell 执行即可检测恶意活动。
启用 PowerShell 日志记录还有助于提高执行过程中的准确度。
PowerShell 5.0 引入了增强的日志记录功能，其中一些功能已添加到 PowerShell 4.0 中。
早期版本的 PowerShell 日志记录功能并不多。
组织可以在数据分析平台中收集 PowerShell 的执行细节，作为 PowerShell 日志的补充。

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn