赤豹終端安全：PowerShell腳本攻擊的防御之道

2024-06-20?來(lái)源：安全資訊

由于PowerShell腳本能夠執(zhí)行各種系統(tǒng)管理和自動(dòng)化任務(wù)，持續(xù)受到攻擊者的青睞。據(jù)赤豹反病毒實(shí)驗(yàn)實(shí)全球數(shù)據(jù)觀測(cè)：PowerShell攻擊腳本占windows惡意代碼數(shù)量高達(dá)20%以上。不僅如此，在

不僅如此，在ChatGPT等人工智能系統(tǒng)的幫助下，網(wǎng)絡(luò)攻擊者還可以快速創(chuàng)建PowerShell攻擊腳本，預(yù)計(jì)會(huì)進(jìn)一步加劇PowerShell腳本攻擊的泛濫。

場(chǎng)景一 <<<<
利用PowerShell腳本遠(yuǎn)程執(zhí)行代碼（RCE）：
攻擊者利用PowerShell腳本執(zhí)行遠(yuǎn)程命令，從而在受害終端上執(zhí)行惡意代碼。這種攻擊方式常用于下載和執(zhí)行后門(mén)程序、勒索軟件等惡意軟件。

場(chǎng)景二 <<<<
利用PowerShell腳本竊取信息：
攻擊者使用PowerShell命令與其C2服務(wù)器通信，可以被用來(lái)竊取系統(tǒng)中的敏感信息，包括用戶憑據(jù)、瀏覽器歷史記錄、存儲(chǔ)的密碼等敏感數(shù)據(jù)。

場(chǎng)景三 <<<<
利用PowerShell腳本修改系統(tǒng)配置：
攻擊者可以利用PowerShell惡意腳本修改系統(tǒng)配置，如修改注冊(cè)表、服務(wù)設(shè)置和安全策略等，以增加后續(xù)攻擊的成功率，并且削弱系統(tǒng)的安全性。

場(chǎng)景四 <<<<
利用PowerShell腳本發(fā)起拒絕服務(wù)攻擊（DoS）：
PowerShell惡意腳本可以通過(guò)消耗系統(tǒng)資源、發(fā)起大規(guī)模的網(wǎng)絡(luò)請(qǐng)求或執(zhí)行無(wú)限循環(huán)等方式，導(dǎo)致系統(tǒng)崩潰或拒絕服務(wù)，使系統(tǒng)無(wú)法正常運(yùn)行或提供服務(wù)。

場(chǎng)景五 <<<<
利用PowerShell腳本進(jìn)行橫向移動(dòng)：
一些PowerShell惡意腳本具有自我復(fù)制和傳播的能力，攻擊者可以使用PowerShell 腳本在受感染的網(wǎng)絡(luò)中橫向移動(dòng)，從而獲得對(duì)其他系統(tǒng)和資源的訪問(wèn)權(quán)限，造成更大范圍的損害。

赤豹終端安全管理系統(tǒng)（簡(jiǎn)稱赤豹EDR）集成了江民公司獨(dú)創(chuàng)的腳本防御引擎，能夠有效檢測(cè)系統(tǒng)內(nèi)PowerShell腳本的運(yùn)行行為，阻止惡意腳本的運(yùn)行。

赤豹EDR腳本檢測(cè)防御引擎主要包括下面幾個(gè)技術(shù):

>> 技術(shù)①：系統(tǒng)行為分析
通過(guò)監(jiān)視系統(tǒng)的行為模式來(lái)檢測(cè)潛在的PowerShell腳本型攻擊。通過(guò)自學(xué)習(xí)技術(shù)創(chuàng)建正常系統(tǒng)行為的基線，持續(xù)監(jiān)測(cè)進(jìn)程行為、文件系統(tǒng)活動(dòng)、注冊(cè)表修改等系統(tǒng)行為，檢測(cè)是否存在與系統(tǒng)行為基線的任何偏差，識(shí)別可能存在的腳本型攻擊。

>> 技術(shù)②：人工智能檢測(cè)
江民通過(guò)對(duì)大量惡意PowerShell腳本來(lái)進(jìn)行訓(xùn)練和驗(yàn)證，訓(xùn)練深度學(xué)習(xí)模型檢測(cè)惡意PowerShell腳本。腳本防御引擎集成了PowerShell人工智能檢測(cè)模型，來(lái)檢測(cè)PowerShell攻擊活動(dòng)。

>> 技術(shù)③：進(jìn)程層級(jí)關(guān)系檢測(cè)
通過(guò)判定PowerShell啟動(dòng)時(shí)的進(jìn)程層級(jí)關(guān)系，建立進(jìn)程關(guān)系樹(shù)，檢測(cè)PowerShell的上級(jí)父進(jìn)程是否為惡意進(jìn)程或者非正常系統(tǒng)進(jìn)程，實(shí)現(xiàn)對(duì)惡意PowerShell的檢測(cè)。

>> 技術(shù)④：安全訪問(wèn)控制
系統(tǒng)安全訪問(wèn)控制策略控制，限制對(duì)PowerShell的使用和執(zhí)行權(quán)限，只允許經(jīng)過(guò)授權(quán)的用戶執(zhí)行PowerShell命令或者僅授權(quán)受信任發(fā)布者簽名的腳本，并限制其訪問(wèn)系統(tǒng)資源的范圍。

>> 技術(shù)⑤：異常命令檢測(cè)
實(shí)時(shí)進(jìn)行異常命令執(zhí)行檢測(cè)，及時(shí)發(fā)現(xiàn)和阻止系統(tǒng)中出現(xiàn)的異常命令執(zhí)行行為，防止惡意活動(dòng)的進(jìn)一步擴(kuò)散。

>> 技術(shù)⑥：網(wǎng)絡(luò)傳播與阻斷
監(jiān)視系統(tǒng)網(wǎng)絡(luò)流量數(shù)據(jù)，包括檢測(cè)惡意腳本的下載、傳播和執(zhí)行等，阻止惡意腳本的傳播。

赤豹EDR將與時(shí)俱進(jìn)，不斷提升對(duì)PowerShell等惡意腳本的檢測(cè)對(duì)抗能力，深化終端防護(hù)技術(shù)，為用戶針對(duì)腳本類(lèi)型攻擊提供強(qiáng)有力的防護(hù)屏障！

江民赤豹終端安全團(tuán)隊(duì)專注于終端安全攻防技術(shù)研究和產(chǎn)品研發(fā)，開(kāi)發(fā)了包括赤豹終端安全軟件、江民網(wǎng)絡(luò)版殺毒軟件、赤豹防勒索系統(tǒng)、赤豹終端安全管理系統(tǒng)、赤豹終端安全檢測(cè)與響應(yīng)系統(tǒng)等多款終端安全產(chǎn)品。江民赤豹終端安全團(tuán)隊(duì)持續(xù)聚焦終端高級(jí)威脅防護(hù)和攻防對(duì)抗，可以幫助客戶建立面向已知和未知威脅防護(hù)以及統(tǒng)一管控、高效運(yùn)維的新一代終端安全立體防護(hù)體系。

返回上級(jí)

这里有久久精品66,欧美日韩在线 xxx,熟妇一区二区在线免费观看,97夫妻在线,视频,中文幕av一区二区三区,精品亚洲999久久久久,精品国产欧美日韩,久久中文字幕日韩,久久精品三级网站

新聞中心

赤豹終端安全：PowerShell腳本攻擊的防御之道

这里有久久精品66,欧美 日韩 在线 xxx,熟妇一区二区在线免费观看,97夫妻在线,视频,中文幕av一区二区三区,精品亚洲999久久久久,精品国产欧美日韩,久久中文字幕日韩,久久精品三级网站

新聞中心

赤豹終端安全：PowerShell腳本攻擊的防御之道

这里有久久精品66,欧美日韩在线 xxx,熟妇一区二区在线免费观看,97夫妻在线,视频,中文幕av一区二区三区,精品亚洲999久久久久,精品国产欧美日韩,久久中文字幕日韩,久久精品三级网站