前面，我们讲到了无文件攻击和内存马攻击，这些都是在近年的攻防实战中常见且被攻击者惯用的攻击手段。今天我们拆解一下无文件攻击，简析一下利用系统工具PowerShell而展开的无文件攻击，与大家一起探析一下PowerShell攻击如何应用于MITRE ATT&CK技术，让大家对整个攻击框架有更多的了解。

PowerShell的特性

PowerShell是一种强大的交互式命令行shell和脚本语言，默认安装在Windows操作系统上，2016年后支持开源和跨平台。由于PowerShell具有广泛的Windows内部访问权限，系统管理员经常使用它来管理和配置操作系统，并自动完成复杂的任务。

因此，攻击者经常使用内置的Windows命令行和脚本工具来运行他们的命令。PowerShell是使攻击者能够执行以下操作的工具之一。在更技术的层面上，PowerShell可以直接将shellcode执行到内存中，通常使用模糊命令和反射注入，这使得观察和检测更加困难。默认情况下，该工具通过应用程序编程接口(API)、进程(如Windows Management Instrumentation (WMI)和.net框架享有访问Windows操作系统的高度特权。

因此，攻击者利用该技术进行攻击主要含如下几个方面：

• 创建在内存中运行而不会在磁盘上留下任何痕迹的无文件恶意代码
• 通过对操作系统内部的广泛访问来执行复杂的操作
• 通过定期将恶意代码加载到内存中来实现持久化驻留
• 发现信息、收集和泄露数据
• 通过网络横向移动

PowerShell应用于MITRE ATT&CK框架

PowerShell技术虽然只归类在MITRE ATT&CK框架的Execution策略中，但它也是实现Defense Evasion策略的强大技术。攻击者使用PowerShell来采用以下防御规避技术：

• 直接在内存中加载和执行恶意代码

• 下载和执行恶意软件负载而不将任何数据写入磁盘（无文件执行）

• 无需安装额外软件即可执行复杂代码（T1064脚本）

• 逃避杀毒软件（Anti-Virus）软件扫描接口 (AMSI) 和更改 Windows Defender 设置（T1089禁用安全工具）

• 通过禁用脚本块日志记录来阻止事件（T1054指标阻止）

• 将恶意代码注入合法进程（T1055进程注入）

• 定位和模拟用户登录令牌（T1134访问令牌操作）

攻击者可能会滥用PowerShell命令和脚本来执行。攻击者可以使用PowerShell 执行许多操作，包括发现信息和执行代码。PowerShell还可用于从Internet下载和运行可执行文件，这些可执行文件可以从磁盘或内存中执行，而无需接触磁盘。

PowerShell攻击的防御

针对PowerShell攻击可以采用WAF、EDR、HIPS等防护工具进行防御，但它们对恶意代码的检测和防御一般局限于文件静态检测、启发式检测、动态行为分析、主动防御等技术，这些技术虽然对传统威胁攻击具有不错的检测、防御效果，但对PowerShell攻击这类新型威胁攻击的检测、防御效果并不理想，而内存保护技术可以弥补防御措施的不足。

1、Web应用程序防火墙 (WAF) 

其部署在Web应用程序之前，通过检查GET和POST请求，分析双向Web (HTTP) 流量，实现检测识别和阻止恶意攻击的作用。与仅用于过滤网络协议的网络防火墙不同，WAF是一种解决Web客户端和Web服务器之间数据安全访问的技术方案。WAF对Web应用流量的所有请求和响应进行深入分析。这种分析有助于WAF识别和阻止威胁，防止它们到达服务器。

但是，WAF基于流量分析，实现检测和防御，对于PowerShell攻击存在被绕过的情况。此背景下选择内存保护技术可以监控CPU执行的指令集，通过对部分敏感指令的监控，并结合操作系统上下文就可以知道操作系统中运行进程到底执行了什么动作，从而破解操作系统的一些限制，采集到更多的程序行为，这样可以大大提升威胁识别率，并大幅降低误报率。

2、终端检测与响应（EDR）

通过持续监控端点的活动，对终端行为进行记录，之后对信息的进一步分析，以识别内部或外部攻击行为。EDR对识别特定的终端行为，具有积极的作用，一旦检测到威胁，EDR可以隔离和转移来自内部和外部来源的攻击，保护端点设备免受风险。警报和数据可以与其他向量相关联，并且可以应用情报来提供扩展检测和响应 (XDR)，快速发现组织内传播的威胁。

由于PowerShell此类无文件攻击存在于系统的RAM中，不遵循既定的行为模式，没有可识别的代码或签名，所以，EDR的防护手段对此类威胁略显乏力。而采用内存保护技术，基于进程进行异常行为检测，同时可以收集终端上的各种安全状态信息，包括：恶意行为代码、漏洞攻击、内存恶意代码以及终端各种软硬件信息等，当此类攻击发生时可以更好的进行监控、响应，及时解决。

3、主机入侵防御系统（HIPS）

HIPS使用的规则基于已知攻击特征和对操作系统和主机上运行的特定应用程序的详细知识的组合。这些规则使HIPS能够确定异常或越界活动，从而防止主机执行不符合操作系统或应用程序正确行为的命令。

但是对于PowerShell未知威胁的攻击缺少防护能力。而内存安全产品采用硬件虚拟化技术，侧重于保障执行完整性，不依赖过去的恶意事件、恶意病毒的模式匹配，在内存级别监控应用程序进程，确保它们在合法的执行流上，对于PowerShell攻击可以更好的进行检测防御。

随着新兴技术的发展，诸如无文件攻击之类的威胁和复杂威胁逐渐兴起并被利用，应对瞬息万变的环境并防范是众多企业面临的挑战。针对性地选择解决方案，可以很好地解决此类威胁问题。