大家好,今天小編來為大家解答powershell什么意思這個問題,powershell可以禁用嗎很多人還不知道,現在讓我們一起來看看吧!
Windows power shell撤銷上一個操作/命令
上一個命令已執行完成,是取消不了的吧。
可以取消當前正在執行的命令:Crtl+C
計算機挖礦病毒是怎么樣通過PowerShell腳本作為載體進行傳播的呢
前言
近日,金山毒霸安全實驗室攔截到一個通過PowerShell腳本作為載體進行傳播的挖礦病毒,其通過下拉多個腳本完成一次攻擊行為,使用“永恒之藍”漏洞、WMIExec滲透工具進行自動化傳播,同時所有載荷均寫入WMI進行無文件駐留。
該樣本目前仍在活躍中,同時存在其他變種,詳細分析見正文。
正文母體腳本
如下為捕獲到的樣本,也是一個唯一落地的BAT腳本,功能上算一個較為常見的PowerShell聯網下拉執行腳本。通過判斷WMI的命名空間下是否存在名為的,如果不存在則聯網下拉腳本。
提供病毒下載的服務器
其中,
info.vbs攜帶挖礦程序的vbs腳本,自身會寫入WMI
info3.ps1攜帶x86平臺挖礦、攻擊腳本
info6.ps1攜帶x64平臺挖礦、攻擊腳本
攻擊演示圖
info6.ps1主腳本
混淆嚴重
info6.ps1是一個混淆程度較高的powershell腳本,整體代碼只有兩行,但足有3.9M大小,真是”短小精悍”。
通過對該腳本進行2次去混淆并進行整理,最終得到一個較為清晰的內容,下文是其執行過程及其相關模塊的分析。
執行過程
1.初始化數據
通過對$fa進行分拆得到各個變量的數據,實際均經過base64編碼。
這些數據會存儲在中,而的管理類是WMI,實際最終存儲在WMI中,也即無文件
在取值的時候,則可以通過如下方式取出
2.判斷x64
大多數機器是x64的,但也有部分x86用戶,需要做兼容,實際功能代碼與info6.ps1一樣。
3.解代碼
由于fun中有WMIExec和MS17010的攻擊包,還有一些是輔助功能函數,所以這里先引入,至于里面具體是什么請向下看。
4.釋放運行時dll
這些dll是挖礦程序需要用到的,所以這里早點釋放出來吧
5.刪除其他WMI
6.寫自己的WMI
其中FilterName與ConsumerName分別為,,間隔5600s執行一次”本腳本”功能,通過powershell傳入base64編碼后的腳本內容。
7.善后、開工!
由于母體bat腳本是由ms17010shellcode寫入temp路徑下的,原始名稱為y1.bat,并且通過寫計劃任務的形式啟動,所以這里需要刪掉這個計劃任務以及清理掉這個bat腳本。之后看看哪些powershell進程訪問了80端口,由于樣本攜帶的挖礦程序均訪問80端口,所以也以此判斷是否啟動了自己的挖礦程序,如果沒訪問那么就需要執行一次,當然為了保證工作環境的干凈,需要干掉疑似挖礦的其他powershell進程,通過判斷典型挖礦程序的的3333,5555端口訪問。
8.攻擊、傳播!
為了保證挖礦效率,需要抓一些”礦工”,由于不會給工資,所以沒人愿意白干。這里需要請WMIExec和MS17010兩位大哥出面協調。
通過枚舉網段IP,進行攻擊,由于給WMIExec命令行參數傳錯,導致這個攻擊徹底廢了,那只好MS17010出馬了,通過調用C#實現的接口,以及函數進行攻擊。
模塊分析
繼上文說到本樣本使用了WMIExec和MS17010攻擊包,那么這些東西是什么,又是怎么引入的?這也是本節要說明的。
WMIExec
代碼來自Invoke-TheHash項目,一個基于.NetTCPClient,通過把NTLMhash傳遞給NTLMv2身份驗證協議來進行身份驗證的工具,執行時不需要本地管理員權限,傳送門
樣本作者封裝了一個test-ip函數,其參數2,4是通過mimikatz抓取的本地用戶hash,參數1,3分別是目標ip和回連web服務器。WMIExec執行的功能是通過寫一個VBSDownload,下拉執行一個VBS腳本,同時下拉執行info6.ps1(32位為info3.ps1)。
MS17010
雖然這個漏洞目前看來有點”過氣”,但畢竟也是RCE啊!
作者分別引入了掃描和exp模塊,掃描模塊,通過的方式引入源代碼,這樣會在powershell運行過程中調起C#編譯器動態編譯,抓取到的命令行如下
exp模塊,已封裝很完整,暫未找到開源代碼。
shellcode,執行如下命令
攻擊時截圖如下,
執行方式
樣本作者在PowerShell中攜帶的挖礦程序,會通過反射加載的方式進行啟動,具體可以用如下代碼模擬啟動
(門羅畢)挖礦程序執行后,界面如下
info.vbs腳本
上文說了info6.ps1和其相關的輔助模塊,同時提到一次WMIExec攻擊成功之后,會下拉一個info.vbs腳本,但是由于傳入參數問題,這個是不會被下拉的,這里簡單分析下。vbs腳本依然存在混淆,通過提取、整理,如下,先將編碼后的另一個挖礦程序寫入到WMI中保存起來,使用的時候通過調用WriteBinary函數導出
之后取出來,釋放執行,開始挖礦
完成寫一個WMI事件過濾器,間隔2h啟動一次,功能當然是取挖礦程序,釋放執行,這里不再贅述。
檢測&清除
通過代碼分析,本樣本實際傳播途徑主要為ms17010,所以提醒各位還是要及時安裝補丁。
檢測&清除PowerShell腳本代碼如下,請嘗試以管理員權限運行(請謹慎使用下列代碼,在自身不確定的情況下也可安裝金山毒霸進行檢測)
3.金山毒霸可進行查殺防御
總結
通過對本樣本的分析,可以知道樣本自身使用了很多開源代碼,實際由病毒作者編寫的代碼量很小,極大降低了制作難度,這也是現有非PE攻擊的一個普遍特性。
目前來看,非PE攻擊已經有白熱化趨勢,隨著js、vbs腳本逐漸被殺軟“圍堵”,以PowerShell為載體的新一輪攻擊已經開始,由于PowerShell的特殊性,現有依靠“白名單策略”構建的防護體系存在“坍塌”的風險,針對PowerShell的防御,將成為一個新的安全研究方向。
截止完稿,樣本已經挖了13個門羅幣了,市值6000多元。
PS:歡迎大家關注、轉發、點贊、轉發、收藏等方式交流。
什么是Powershell
powershell是什么:
powershell首先是個shell,定義好了一堆命令與操作系統,特別是與文件系統交互,能夠啟動應用程序,甚至操縱應用程序。powershell還能允許將幾個命令組合起來放到文件里執行,實現文件級的重用,也就是說有腳本的性質。且powershell能夠充分利用.net類型和com對象,來簡單地與各種系統交互,完成各種復雜的、自動化的操作。
powershell的作用:
1、與文件系統交互、運行應用程序,就像在dos中一樣,在powershell的交互界面上鍵入“dir”并回車,會顯示當前文件夾下的子文件夾和文件信息。
2、可以在powershell想更好地控制應用程序,可以使用start命令,就會打開最大化的記事本。
3、任務的自動化是以程序文件或者可執行腳本文件為基礎的,powershell也支持將命令列表做成腳本文件來執行。以下是hello.ps1腳本文件的內容。
4、能夠利用.net類型和com對象是powershell的最大特點,這讓powershell能夠最大限度的利用現有資源,并且很容易把.net和com程序員招徠到自己麾下。
windows powershell可以刪除嗎
可以看作是一個命令提示符(cmd)的擴展。
基本的作用是運用命令行來進行電腦的管理。功能是非常強大的。現在好像已經出到4.0版本了。
對于管理人員很有用。
這個在windows7是內置powershell2.0,windows8內置的是powershell3.0版本。
如果樓主不是學這方面的人的話,基本可以不用在意。忽視掉就可以了。
如果想要使用的話,是需要花一定時間的。
PowerShell怎么刪除
你說的Powershell文件夾,指的是什么?
如果是系統文件夾(即Powershell所在的文件夾),是不建議刪除的。
如果你想用Powershell刪除文件夾,可以用Remove-Item這個cmdlet,具體語法如下:Remove-Item文件夾路徑-Recurse-Force-Confirm:$falseRecurse是同時刪除子目錄Force是強制刪除Confirm:$false或Confirm:0,表示不需要確認,直接刪除。
v-power是什么品牌
V-Power殼牌燃油。殼牌又叫蜆殼。它是世界第一大石油公司,總部位于荷蘭海牙和英國倫敦,由荷蘭皇家石油和英國殼牌合資而成。
它是國際上主要的石油、天然氣、石油化工的生產者,同時也供應汽車的燃油和潤滑油。業務遍布全球140個國家,員工9萬余人,油、氣產量占世界總產量的3%和5%。
近年來隨著國內生活水平的提高,更多顧客開始追求高端的生活品質。而高品質、愉悅的駕駛體驗,更是高端生活品質的根本需求之一。為此,殼牌于2018年率先啟用高端燃油差異化戰略,相繼在天津、成都、西安和北京四個重要地區上線殼牌V-Power燃油,將法拉利與殼牌在賽道上近70年的科技研發成果帶給中國顧客,把F1賽道的比賽燃油轉化為日常道路駕駛者可以使用的民用燃油。
OK,關于powershell什么意思和powershell可以禁用嗎的內容到此結束了,希望對大家有所幫助。
