最强大的恶意软件工具并非暗网深处的神器，它就藏在每个企业的“床底下”

　　PowerShell是一个强大的命令行工具，是微软公司为Windows环境开发的壳程序(shell)及脚本语言技术，让Windows也拥有了类似UNIX的功能强大的壳程序。但是PowerShell的强大同时也是一柄双刃剑，成为企业信息安全的心腹大患。

　　根据安全公司CaronBlack的最新研究报告(点击下面链接下载)，高达38%的复合恶意软件软件攻击开始将PowerShell作为工具之一。

　　攻击者如此青睐PowerShell的原因是PowerShell在企业中随处可见，大多数安全人士并不会将PowerShell视为安全威胁。这使得PowerShell成为最有效的攻击模块之一。PowerShell的脚本能够在内存中运行，而且不会在磁盘中留下任何文件痕迹，在系统中产生的“动静”很小，因此往往不会引起人们的注意。根据CaronBlack的报告，与PowerShell有关的攻击中，31%的受害企业都没有收到安全警报。

　　PowerShell在恶意软件攻击中流行的另外一个原因是为PowerShell编写脚本的效率很高，比起开发恶意软件二进制代码来说要容易得多，在达到同样效果的前提下，攻击者自然愿意选择PowerShell。

　　对于PowerShell的恶意使用，目前尚未有效防范手段，因此IT专业人士需要对企业内部应用对PowerShell的调用进行更加严密的监控，记录PowerShell的活动并通过分析日志来发现异常行为，创建规则在发生异常行为时报警，例如微软Office应用不会不会在处理中调用PowerShell，因此出现这种情况就需要格外警惕。

　　安全人士还需要经常审视PowerShell的命令行，通常合法脚本的内容和目的都很直观，而攻击脚本通常都使用Base64加密命令行，而且经常把所有整个脚本团塞在一行中，一眼就能看出异常。

　　责任编辑：DJ编辑