查看: 3291|回复: 21
收起左侧

[讨论] 有没有powershell的东东?

[复制链接]
柯林
发表于 2019-3-26 12:08:26 | 显示全部楼层 |阅读模式
样本区好像勒索样本一片红的样子,其它的有点少。
看一些介绍,利用powershell进行攻击的好像挺有意思,有没有人弄点这方面的样本,看看各大杀软的反应,探讨下防御?
JAYSIR
发表于 2019-3-26 12:45:40 | 显示全部楼层
ps好像本身就对第三方脚本默认禁止吧。。。不是很了解,但ps本身很强大毋庸置疑。。。
欧阳宣
头像被屏蔽
发表于 2019-3-26 13:09:40 | 显示全部楼层
昨天有个grandcrab就是
柯林
 楼主| 发表于 2019-3-26 16:05:00 | 显示全部楼层
欧阳宣 发表于 2019-3-26 13:09
昨天有个grandcrab就是

嗯,看了下
这东西貌似以后也是一种趋势了
ELOHIM
发表于 2019-3-26 16:40:13 | 显示全部楼层
本帖最后由 ELOHIM 于 2019-3-26 16:46 编辑

AMSI技术。
可信路径执行规则。
可执行的禁写,可写的禁执行。
最小授权。
另外,powershell执行过的每个命令都会有txt文档保存,找一下看看。。
当然,还有前期做好保护的日志。
不过最好的防御技术在我看来还是当前的HIPS功能。COMODO应该可以闹一阵。

不过,武断点儿,禁止powershell执行最好了。普通用户根本用不到。
程序调用直接拦截。一了百了。

HEMM
发表于 2019-3-26 16:41:24 | 显示全部楼层
本帖最后由 HEMM 于 2019-3-26 16:44 编辑

最先开始是禁的,后来和CMD一样降权,只运行必要的。再后来CMD为了图方便,直运conhost,这好像不是什么好主意,因为CMD平时也没登场,也没安装某安软.....由于BUG10各种不兼容,还真省却了CMD玩古老游戏的用途,不过为什么我一直没改呢?我也不知道.......
JS在taskhostw上运行了挫网游的,虽然那网游没玩了....懒得删除,万一又玩了呢?主要是太烦!编那么一大列为一个游戏....
嗯.......防火墙的规则似乎也很松,各种直接连,远不如MD时期的矫情,我是说细腻....
最后我关闭了防护.........靠着过期的WD一战......也就是所谓的安全性大降,就中了广告和流氓而已,主要是我下载游戏直接就双击了,不得不佩服那些网站赚一票就倒闭的神奇发展策略,非要搞安装包一体式的,每当我认为会倒闭的时候打开一观,人家还好好的,这是靠意志力存活?或者自产自销?
???
反正开启防护的我是把powershell和CMD当作一种类型在控,精细是不可能精细的,脑子不好使。

柯林
 楼主| 发表于 2019-3-26 16:49:11 | 显示全部楼层
HEMM 发表于 2019-3-26 16:41
最先开始是禁的,后来和CMD一样降权,只运行必要的。再后来CMD为了图方便,直运conhost,这好像不是什么好 ...

看一些分析文章说,powershell脚本,95%都是恶意脚本,利用这东东进行无文件攻击等活动,据说从2017年到2018年,相关威胁已经上升661%(被这百分比惊到了)
据说,禁用了cmd与powershell依然难以幸免https://blog.csdn.net/qq_27446553/article/details/52426736
没精力折腾,关心下,只想找点最简单的方法加以防御,太麻烦的没心情
KK院长
发表于 2019-3-26 16:53:04 | 显示全部楼层
禁用了cmd与powershell 肯定会好一点的.
不然用啥..
HEMM
发表于 2019-3-26 16:58:15 | 显示全部楼层
本帖最后由 HEMM 于 2019-3-26 17:00 编辑
柯林 发表于 2019-3-26 16:49
看一些分析文章说,powershell脚本,95%都是恶意脚本,利用这东东进行无文件攻击等活动,据说从2017年到2 ...

昂?姐姐不是致力于搭配的吗?
据说据说据说.........专门搞你总有空子钻吧......
我幸免了反正,至于为什么幸免了,不告诉你,反正我幸免了,我说是就是= =
又要简单的防护,又无法幸免会不会起冲突啊???
单WD,无脑乱用的情况下,中的最多的也就是流氓和广告.....中了大的就哭,哭完了再无脑,这样会轻松很多......

柯林
 楼主| 发表于 2019-3-26 16:58:30 | 显示全部楼层
KK院长 发表于 2019-3-26 16:53
禁用了cmd与powershell 肯定会好一点的.
不然用啥..

不大了解这玩意的防御
目前是笨办法---FD入口挡下:禁止生成ps1文件,禁止创建exe文件,禁运%Temp%,不知道作用如何(看一些分析帖,最终还是会下载个pe文件到%Temp%里运行),另外把powershell和wscript之类禁了联网,未知有用否。了解不够,经验欠缺。期待较为妥当的防护策略可以分享
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 21:12 , Processed in 0.142583 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表