PowerShell配置文件

在某些情况下，攻击者可以通过滥用PowerShell(T1086)配置文件来获得持久性和提升特权。PowerShell配置文件（profile.ps1）是一个在PowerShell启动时运行的脚本，可以用作登录脚本来自定义用户环境。PowerShell根据用户或主机程序支持多个配置文件。例如，PowerShell主机程序（例如PowerShell控制台，PowerShell ISE或Visual Studio Code）可以有不同的配置文件。管理员还可以配置一个配置文件，该配置文件适用于本地计算机上的所有用户和主机程序。

攻击者可能会修改这些配置文件，以包括任意命令，功能，模块和/或PowerShell驱动器来获得持久性。每次用户打开PowerShell会话时，除非启动该-NoProfile标志，否则将执行修改后的脚本。

如果PowerShell概要文件中的脚本由具有较高特权的帐户（例如域管理员）加载并执行，则对手也可能能够提升特权。

标签

ID编号： T1504

策略： 持久性，特权升级

平台： Windows

所需权限： user，administrator

数据源： 进程监视，文件监视，PowerShell日志

程序示例

缓解措施

检测

profile.ps1应该监视可以存储的位置是否有新的配置文件或修改。配置文件位置示例包括：

• $PsHome\Profile.ps1
• $PsHome\Microsoft._profile.ps1
• $Home\My Documents\PowerShell\Profile.ps1
• $Home\My Documents\PowerShell\Microsoft._profile.ps1

监视异常的PowerShell命令，异常的PowerShell驱动器或模块加载和/或未知程序的执行。

Locations where profile.ps1 can be stored should be monitored for new profiles or modifications. Example profile locations include:

• $PsHome\Profile.ps1
• $PsHome\Microsoft._profile.ps1
• $Home\My Documents\PowerShell\Profile.ps1
• $Home\My Documents\PowerShell\Microsoft._profile.ps1

Monitor abnormal PowerShell commands, unusual loading of PowerShell drives or modules, and/or execution of unknown programs.

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn