有没有powershell的东东？

柯林

样本区好像勒索样本一片红的样子，其它的有点少。
看一些介绍，利用powershell进行攻击的好像挺有意思，有没有人弄点这方面的样本，看看各大杀软的反应，探讨下防御？

JAYSIR

ps好像本身就对第三方脚本默认禁止吧。。。不是很了解，但ps本身很强大毋庸置疑。。。

欧阳宣

昨天有个grandcrab就是

柯林

欧阳宣 发表于 2019-3-26 13:09
昨天有个grandcrab就是

嗯，看了下
这东西貌似以后也是一种趋势了

ELOHIM

AMSI技术。
可信路径执行规则。
可执行的禁写，可写的禁执行。
最小授权。
另外，powershell执行过的每个命令都会有txt文档保存，找一下看看。。
当然，还有前期做好保护的日志。
不过最好的防御技术在我看来还是当前的HIPS功能。COMODO应该可以闹一阵。

不过，武断点儿，禁止powershell执行最好了。普通用户根本用不到。
程序调用直接拦截。一了百了。

HEMM

最先开始是禁的，后来和CMD一样降权，只运行必要的。再后来CMD为了图方便，直运conhost，这好像不是什么好主意，因为CMD平时也没登场，也没安装某安软.....由于BUG10各种不兼容，还真省却了CMD玩古老游戏的用途，不过为什么我一直没改呢？我也不知道.......
JS在taskhostw上运行了挫网游的，虽然那网游没玩了....懒得删除，万一又玩了呢？主要是太烦！编那么一大列为一个游戏....
嗯.......防火墙的规则似乎也很松，各种直接连，远不如MD时期的矫情，我是说细腻....
最后我关闭了防护.........靠着过期的WD一战......也就是所谓的安全性大降，就中了广告和流氓而已，主要是我下载游戏直接就双击了，不得不佩服那些网站赚一票就倒闭的神奇发展策略，非要搞安装包一体式的，每当我认为会倒闭的时候打开一观，人家还好好的，这是靠意志力存活？或者自产自销？
？？？
反正开启防护的我是把powershell和CMD当作一种类型在控，精细是不可能精细的，脑子不好使。

柯林

HEMM 发表于 2019-3-26 16:41
最先开始是禁的，后来和CMD一样降权，只运行必要的。再后来CMD为了图方便，直运conhost，这好像不是什么好 ...

看一些分析文章说，powershell脚本，95%都是恶意脚本，利用这东东进行无文件攻击等活动，据说从2017年到2018年，相关威胁已经上升661%（被这百分比惊到了）
据说，禁用了cmd与powershell依然难以幸免https://blog.csdn.net/qq_27446553/article/details/52426736
没精力折腾，关心下，只想找点最简单的方法加以防御，太麻烦的没心情

KK院长

禁用了cmd与powershell 肯定会好一点的.
不然用啥..

HEMM

柯林 发表于 2019-3-26 16:49
看一些分析文章说，powershell脚本，95%都是恶意脚本，利用这东东进行无文件攻击等活动，据说从2017年到2 ...

昂？姐姐不是致力于搭配的吗？
据说据说据说.........专门搞你总有空子钻吧......
我幸免了反正，至于为什么幸免了，不告诉你，反正我幸免了，我说是就是= =
又要简单的防护，又无法幸免会不会起冲突啊？？？
单WD，无脑乱用的情况下，中的最多的也就是流氓和广告.....中了大的就哭，哭完了再无脑，这样会轻松很多......

柯林

KK院长 发表于 2019-3-26 16:53
禁用了cmd与powershell 肯定会好一点的.
不然用啥..

不大了解这玩意的防御
目前是笨办法---FD入口挡下：禁止生成ps1文件，禁止创建exe文件，禁运%Temp%，不知道作用如何（看一些分析帖，最终还是会下载个pe文件到%Temp%里运行），另外把powershell和wscript之类禁了联网，未知有用否。了解不够，经验欠缺。期待较为妥当的防护策略可以分享