加入收藏 | 设为首页 | 会员中心 | 我要投稿 应用网_丽江站长网 (http://www.0888zz.com/)- 科技、建站、数据工具、云上网络、机器学习!
当前位置: 首页 > 站长资讯 > 评论 > 正文

PowerShell无文件持久化技术与常用的防御绕过技术

发布时间:2019-02-01 00:12:54 所属栏目:评论 来源:luochicun
导读:副标题#e# 目前为止,PowerShell仍然是网络安全专家进行防御和黑客进行攻击的首选工具。原因很简单,PowerShell具有很好的可扩展性,支持能力以及适应各种编程语言。如PowerShell Empire,PowerSploit等,都被安全研究人员以及黑客所使用。 这两天,就有安

对于那些还没有使用该平台进行防护的组织来说,我们可以推荐一些方法来检测PowerShell的这种无文件持久化行为,其实这种恶意行为并不仅限于某种特定的模式,例如IEX。下面我们就为你列出一些预防措施,让你做到心中有数:

  • 注意PowerShell命令的字符长度必要过大;
  • 注意将PowerShell置于约束语言模式下的行为;
  • 启用增强的PowerShell日志记录,例如脚本块日志记录;
  • 经常对设备进行安全检测;
  • 注意minesweeper.exe的出现;
  • 监控诸如IEX,EncodedCommand等的使用;
  • 利用Sysmon等工具提高记录功能,并检测可能由可疑进程(PowerShell)引发的流程注入,
  • 审查DNS日志并寻找可疑的控制命令和DNS请求;
  • 查找不是源自powershell.exe和powershell_ise.exe的System.Management.Automation.dll和System.Management.Automation.ni.dll;
  • 在正常情况下禁止普通用户执行PowerShell命令(AppLocker +Device Guard可以防止普通用户使用PowerShell)。

【编辑推荐】

  1. 安全 | 揭秘人工智能带来的网络安全威胁
  2. 零信任的出现成为网络安全关注点
  3. 2019年能改善组织网络安全的六项决议
  4. 赛门铁克发布2019年及未来网络安全趋势预测
  5. 物联网守卫战:企业如何应对僵尸网络攻击
【责任编辑:赵宁宁 TEL:(010)68476606】
点赞 0

(编辑:应用网_丽江站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

推荐文章
    热点阅读