PowerShell无文件持久化技术与常用的防御绕过技术

对付那些还没有行使该平台举办防护的组织来说，我们可以保举一些要领来检测PowerShell的这种无文件耐久化举动，其拭魅这种恶意举动并不只限于某种特定的模式，譬喻IEX。下面我们就为你列出一些提防法子，让你做到心中稀有：

• 留意PowerShell呼吁的字符长度须要过大;
• 留意将PowerShell置于束缚说话模式下的举动;
• 启用加强的PowerShell日记记录，譬喻剧本块日记记录;
• 常常对装备举办安详检测;
• 留意minesweeper.exe的呈现;
• 监控诸如IEX，EncodedCommand等的行使;
• 操作Sysmon等器材进步记录成果，并检测也许由可疑历程(PowerShell)激发的流程注入，
• 检察DNS日记并探求可疑的节制呼吁和DNS哀求;
• 查找不是源自powershell.exe和powershell_ise.exe的System.Management.Automation.dll和System.Management.Automation.ni.dll;
• 在正常环境下榨取平凡用户执行PowerShell呼吁(AppLocker +Device Guard可以防备平凡用户行使PowerShell)。

【编辑保举】

1. 安详 | 揭秘人工智能带来的收集安详威胁
2. 零信赖的呈现成为收集安详存眷点
3. 2019年能改进组织收集安详的六项决策
4. 赛门铁克宣布2019年及将来收集安详趋势猜测
5. 物联网捍卫战：企业怎样应对僵尸收集进攻

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!