2.2 PowerShell基础

2005年，Microsoft发布了PowerShell。PowerShell是一种功能强大的脚本语言和Shell程序框架，用于取代默认命令提示符，便于系统管理员更灵活、更便利地管理计算机系统。然而，任何事物都具有两面性，PowerShell既是管理者的工具，也是攻击者的利器，已被广泛用于不同规模的网络攻击载体—计算机病毒的设计中，无论是下载器、内网横向移动，还是权限维持，都可见PowerShell技术的身影。因此，了解PowerShell对于计算机病毒攻防是大有裨益的。

2.2.1 PowerShell简介

PowerShell是一种强大的交互式命令行Shell和脚本语言，默认安装在Windows操作系统上，2016年后支持开源和跨平台。PowerShell基于.Net架构，既兼容原CMD命令提示符的所有功能，又吸收了Linux系统中Bash命令行的诸多优点。PowerShell具有如下特性：

（1）强大的系统管理功能。可直接操作注册表、WMI（Windows Management Instrumentation）及API。

（2）支持管道操作。所谓管道，就是前一条命令的返回结果可直接作为后一条命令的参数。通过管道将多条命令组合成一条命令，且可通过查询、筛选等命令对经过管道传输的数据进行过滤。

（3）支持网络和远程处理。除下载和传输文件等常规网络操作之外，还支持通过远程管理的方式在计算机中执行PowerShell命令或脚本。

（4）支持对象操作、后台异步运行等。

由于PowerShell具有广泛的Windows内部访问权限，系统管理员经常使用它来管理和配置操作系统，并自动完成复杂的任务。与此同时，攻击者也经常使用内置的Windows命令行和脚本工具来运行其命令，使PowerShell成攻击者手头的必备工具之一。

在技术层面上，PowerShell通过应用程序编程接口（API）、进程（如WMI）和.Net框架享有访问Windows操作系统的特权。PowerShell可直接将Shellcode加载至内存执行，并使用模糊命令和反射注入以规避检测与查杀。攻击者利用PowerShell可实现如下功能：

（1）创建在内存中运行的无文件恶意代码；

（2）访问操作系统调用以执行复杂操作；

（3）加载恶意代码至内存中以实现持久化驻留；

（4）发现信息、收集和泄露数据；

（5）网络横向移动以进一步渗透攻击。

尽管PowerShell技术归类于MITRE ATT&CK框架的执行（Execution）策略中，但其依然能通过代码混淆、远程下载至内存执行等来实现防御规避（Defense Evasion）策略。

2.2.2 PowerShell基本概念

1.PowerShell脚本

PowerShell脚本类似于CMD控制台上的批处理文件，是包含PowerShell代码的文本文件。常用的PowerShell扩展名为.ps1、.psc1、.psd1和.psm1，分别表示通用脚本、命令行脚本、清单脚本和脚本模块。可通过文本编辑工具创建PowerShell脚本。

当运行PowerShell脚本文件时，如只输入脚本的文件名，会出现报错，需要使用相对路径或者绝对路径方式来运行PowerShell脚本文件。例如，利用记事本创建一个PowerShell脚本文件gpnu.ps1（见图2-25）。

$PopUpWin=new-object-comobject wscript.shell

$PopUpWin.popup("Hello World,Welcome to School of Cybersecurity,GPNU!")

运行上述创建的PowerShell脚本文件gpnu.ps1会显示出弹出框（见图2-26）。

2.执行策略

为预防执行恶意脚本，PowerShell规定有相应的执行策略。PowerShell脚本能否执行取决于所设定的执行策略。PowerShell的执行策略主要有以下4个。

（1）Restricted：脚本不能运行（默认设置）；

（2）RemoteSigned：本地创建的脚本可运行，但从网上下载的脚本不能运行（拥有数字证书签名除外）；

（3）AllSigned：仅当脚本由受信任的发布者签名时才能运行；

（4）Unrestricted：权限最高，允许所有脚本运行。

如要查看PowerShell所支持的执行策略，可输入如下命令（见图2-27）：

如要获取PowerShell当前的执行策略，可使用如下命令（见图2-28）：

当需要更改PowerShell当前执行策略时，可使用命令Set-ExecutionPolicy[策略名]来完成（见图2-29）。

3.管道（Pipeline）

PowerShell的管道作用是将一个命令的输出作为另一个命令的输入，两个命令之间用管道符号“|”连接。管道的概念与真实生活中的生产线比较相似：在不同的生产环节进行连续的再加工。在DOS系统的CMD控制台中，也有管道的概念，如Dir|More可将结果进行分屏显示。CMD管道是基于文本的，而PowerShell管道则是基于对象的（见图2-30）。

上述图例中，“Get-ChildItem”是获取当前路径的所有项目，“|Where-Object{$_.Length-gt 5000000}”是查看上一步结果，取所有长度大于5000000的项目，“|Sort-Object-Descending Name”是查看上一步结果，按照Name进行倒述排列。

4.管理Microsoft Defender防病毒软件

从Windows 10开始，Microsoft Defender防病毒软件成为Windows安全中心的一部分，列在“病毒和威胁防护”子项中。它提供了强大的实时保护，可抵御有害病毒、勒索软件、间谍软件、Rootkit，以及许多其他形式的恶意软件对系统的威胁。尽管Windows安全中心的“病毒和威胁防护”提供了日常的防病毒功能，但有时在实验PowerShell命令或运行PowerShell脚本时，也会被Microsoft Defender防病毒软件查杀，以至于无法完成实验、达不到实验目的。此时，可利用PowerShell来管理Microsoft Defender防病毒软件。

1）检查Microsoft Defender状态

如要使用PowerShell检查Microsoft Defender的当前状态，可使用以下命令并确认AntivirusEnabled为True（见图2-31）。

2）查询Microsoft Defender所有可用首选项

如要查询并列出Microsoft Defender的所有可用首选项，可使用如下命令以了解其防病毒软件的所有设置（见图2-32）。

3）禁用Microsoft Defender防病毒软件

尽管Microsoft Defender提供了禁用防病毒软件命令，但它受防篡改功能的保护，我们可以通过Windows安全中心提供的“病毒和威胁防护”设置来禁用它。如要禁用防病毒，请关闭“篡改防护”，并使用如下命令（见图2-33）。

如需启用防病毒软件，则可使用如下命令（见图2-34）。

类似地，可使用以下命令禁用/启用Microsoft Defender防病毒软件的防护功能：

（1）Set-MpPreference-DisableIOAVProtection$true（禁用）。

（2）Set-MpPreference-DisableIOAVProtection$false（启用）。

或者，使用以下命令禁用/启用Microsoft Defender防病毒软件的行为扫描功能：

（1）Set-MpPreference-DisableBehaviorMonitoring$true（禁用）。

（2）Set-MpPreference-DisableBehaviorMonitoring$false（启用）。

当然，也可顺便使用以下命令关闭/打开防火墙：

（1）netsh advfirewall set allprofiles state off（关闭）。

（2）netsh advfirewall set allprofiles state on（打开）。

5.管理反恶意程序扫描接口

Microsoft公司开发的反恶意软件扫描接口（Anti-Malware Scan Interface，AMSI）是防御恶意软件攻击的一种解决方案。通常情况下，Microsoft Defender防病毒软件已自动与AMSI API交互集成，以确保其能实时扫描PowerShell脚本、Windows Script脚本、VBScript脚本、JavaScript脚本、Jscript脚本等恶意脚本，防止随意执行恶意代码。当脚本运行时，AMSI会实时检测脚本代码，并通过接口将结果传递给Windows系统内安装的安全软件。如安全软件发现脚本代码存在恶意特征，会拦截并中止脚本执行。

AMSI只是一个通道，真正检测出恶意脚本还需要靠安全软件。AMSI与安全软件的区别在于：无论恶意脚本是经过多次混淆模糊处理还是远程执行，AMSI都可在恶意脚本注入内存前检测出来，而安全软件则不一定能检测到。当用户执行脚本或启动PowerShell时，AMSI.dll将会动态加载至内存。在执行脚本之前，防病毒软件使用如下两个API函数来扫描缓冲区和字符串以查找恶意软件特征：AmsiScanBuffer(0，AmsiScanString(0。

目前，AMSI功能已集成至Windows 10和Windows Server 2016系统中，位于C：\windows\system32\amsi.dll。Windows 10系统中的如下组件已集成了AMSI：

（1）UAC（User Accout Control，用户账户控制），位于%windir%\System32\consent.exe。

（2）Powershell(System.Management.Automation.dll).

（3）Windows脚本宿主（wscript.exe、cscript.exe）。

（4）JavaScript(%windir%\System32\jscript.dll).

（5）VBScript(%windir%\System32\vbscript.dll).

（6）Office VBA宏（VBE7.dll）。

（7）.NET Assembly(clr.dll).

（8）WMI(%windir%\System32\wbem\fastprox.dll).

为了绕过AMSI以免被检测扫描，攻击者在利用PowerShell脚本时，通常会使用如下方法。

（1）降级攻击。由于低版本（2.0）的PowerShell中没有集成AMSI，可降低版本至PowerShell 2.0上执行恶意脚本，就不会被检测到。使用如下命令改变PowerShell运行版本至2.0（见图2-35）。

如要在脚本中使用低版本PowerShell，则需要在脚本开头加入＃requires-version 2，这样系统如能降级至PowerShell 2.0，则以2.0执行脚本；如不能，会按照当前PowerShell版本执行。当然，并非所有脚本都能在低版本的PowerShell上执行。

（2）拆分字符。当PowerShell脚本中含有敏感的特征字符时，拆分字符也是绕过AMSI检测扫描的一种方法（见图2-36）。

（3）禁用AMSI。通过修改注册表，将HKCU\Software\Microsoft\Windows Script\Settings\AmsiEnable的键项值设置为0（见图2-37）。

6.管理Windows防火墙

为了保护系统免受未经授权的传入和传出网络连接的侵害，Windows系统内置了防火墙管理系统。使用Windows防火墙，用户可设置特殊规则来控制出站和入站的网络连接。如Windows防火墙无法正常工作，或者安装了第三方防火墙软件，或者实验需要禁用/启用Windows防火墙，可利用PowerShell命令管理（禁用/启用）Windows防火墙。

1）禁用Windows防火墙

（1）在任务栏的搜索框中输入“PowerShell”，在搜索结果中选择“以管理员身份运行”，打开PowerShell。

（2）在PowerShell窗口中，使用以下命令禁用Windows Defender防火墙（见图2-38）：

2）启用Windows防火墙

如要启用防火墙，需要以管理员身份在PowerShell窗口中运行以下命令（见图2-39）：

2.2.3 PowerShell安全技术

由于PowerShell集成于Windows系统内，已成为攻击者设计攻击载体（计算机病毒）的一种常见安全技术。PowerShell具有如下特性。①无文件性。PowerShell无须磁盘文件，可直接从远程加载至内存执行，能防御多数安全软件。②离地攻击性。由于PowerShell是已集成于Windows系统中的系统自带的、受信任的工具，因此攻击者无须增加额外的工具，就能有效规避安全软件。③易混淆性。PowerShell是一种脚本语言，易实现多种混淆方式，以对抗规避安全软件。④功能适应性。PowerShell可支持WMI和.NET框架，且内置了远程管理机制，可适用于多种攻击场景。本节重点探讨PowerShell混淆技术和绕过技术。

1.混淆技术

混淆就是将PowerShell脚本程序代码，转换成一种功能上等价而又难于阅读和理解的形式的行为，即故意模糊源代码，使人类或安全软件难以理解的行为。就本质而言，混淆完全改变了源代码，但仍在功能上等价于原始代码。

根据PowerShell的语法特征，混淆对象主要分为3类：①命令本身；②函数与对象；③参数。针对上述对象，可分别采用不同的混淆技术。

1）针对命令本身的混淆技术

（1）采用别名/缩写方法。PowerShell的命令支持别名或缩写方式输入。在PowerShell中输入alias命令即可查看所有命令的别名/缩写（见图2-40）。

为演示混淆技术，我们使用Python命令建立简易的Web服务器如下（见图2-41）：

由于某些敏感命令会被安全软件拦截，此时可尝试使用命令别名/缩写方式执行。例如，原来要执行的PowerShell命令如下：

可用IEX替代Invoke-Expression命令，即

尽管使用了别名替换，但执行结果仍然相同（见图2-42）。

（2）使用invoke命令。在PowerShell中，可使用invoke命令调用其他命令，从而达到混淆目的。可使用（‘DownloadString’）.invoke（’http://127.0.0.1∶8000/gpnu.txt’）来替换原来的DownloadString（‘http://127.0.0.1∶8000/gpnu.txt’）。尽管这两条命令看似不同，但其执行结果相同（见图2-43）：

（3）使用NewScriptBlock命令。PowerShell中，可使用$ExecutionContext.InvokeCommand.NewScriptBlock（“”）的方式创建脚本块，再将需要执行的语句嵌入其中，也可达到混淆目的（见图2-44）：

（4）使用Invoke-Command命令。由于Invoke-Command命令具有执行其他命令的功能，可将Invoke-Expression命令行嵌入Invoke-Command命令中以达到混淆目的（见图2-45）：

2）针对函数与对象的混淆技术

（1）采用大小写与特殊字符。首先，PowerShell对于大小写不敏感，可采用大小写搭配的方式进行混淆。其次，可在PowerShell脚本中增加空格，通常不会影响脚本运行，以达到混淆目的。最后，还可在脚本中的对象函数上使用“括号与引号”，将其转化为字符串执行，以达到混淆目的（见图2-46）。

（2）采用字符串变换。首先，可在字符串中使用Split与Join或者Replace等方法分割、替换原来的PowerShell命令行字符串（见图2-47）。

其次，可使用引号对PowerShell命令行字符进行分段拼接（见图2-48）。

最后，可将PowerShell命令行字符串进行反转，以达到混淆目的（见图2-49）。

3）针对参数的混淆技术

（1）采用base64编码。首先，可使用base64编码对参数进行混淆，再使用PowerShell-EncodedCommand命令来解码执行（见图2-50）。

其次，还可将要执行的PowerShell命令行进行base64编码（见图2-51）。

再使用FromBase64String函数，将经过base64编码后的命令解码为正常的PowerShell命令执行，以达到混淆目的（见图2-52）。

（2）采用SecureString混淆。SecureString是一种加解密方式，可以通过密钥对PowerShell脚本进行加解密，以实现脚本混淆。例如，可使用如下命令来替代原来的命令行（见图2-53）：

目前，网上还有很多针对PowerShell脚本的混淆工具，如Invoke-Obfuscation、Invoke-CraftCraft、Chimera等，可利用这些混淆工具对PowerShell脚本进行有针对性地混淆。

2.绕过技术

攻击载体（计算机病毒）在传播至目标系统后，通常面临着本地执行策略与安全软件的拦截与查杀。由于PowerShell默认的执行策略是Restricted，即执行受限模式。如要运行PowerShell脚本，则须将Restricted策略更改成Unrestricted或Bypass。为了能成功执行，PowerShell类恶意脚本需要采取相应的绕过技术。常用的绕过技术大致包括如下三类。

1）绕过本地权限执行

在将PowerShell脚本gpnu.ps1上传至目标系统后，通过修改执行策略为Bypass（PowerShell.exe-ExecutionPolicy Bypass）来绕过本地默认的执行策略。在CMD环境下输入如下命令即可绕过执行策略并顺利运行该脚本（见图2-54）：

2）隐藏绕过权限执行

PowerShell脚本在目标系统执行时，如能隐匿执行自身，则可有效规避用户和安全软件，达到绕过目的。可输入如下命令来隐藏绕过权限执行：

或者采用别名缩写方式输入如下命令（见图2-55）：

在CMD环境中执行上述脚本后将会自动退出CMD命令提示符环境，从而达到既绕过本地执行权限又隐匿执行并退出的目的。

3）用IEX远程下载并绕过权限执行

为模拟远程下载，可利用Python建立简易的Web服务器。假设系统的IP地址为192.168.1.7，且PowerShell脚本存放在H：\tests目录下，使用如下命令即可建立Web服务器（见图2-56）：

再利用PowerShell的IEX（Invoke-Expression）命令从远程下载PowerShell脚本至内存执行，使用的命令如下（见图2-57）：