PowerShell-скрипты

25 декабря, 2025, 14:25

PowerShell-скрипты — это исполняемые файлы (обычно с расширением .ps1), содержащие последовательность команд и инструкций для PowerShell — мощной кроссплатформенной среды автоматизации и управления конфигурацией от Microsoft. В контексте кибербезопасности PowerShell является «двусторонним» инструментом: он широко используется администраторами для легитимных задач, но также активно злоупотребляется злоумышленниками благодаря своей глубокой интеграции в ОС Windows, возможности обхода защиты (Living-off-the-Land) и мощным сетевым и системным возможностям.

Возможности и характерные особенности (с точки зрения угроз):

  • Встроенный и доверенный: PowerShell предустановлен в современных системах Windows, а его выполнение часто разрешено политиками безопасности и считается легитимной активностью, что позволяет скрывать вредоносные действия в потоке легальных событий.
  • Мощный функционал для атак:
    • Сбор информации: Перечисление процессов, служб, сетевых подключений, учетных записей пользователей.
    • Перемещение по сети (Lateral Movement): Выполнение команд на удаленных системах, копирование файлов.
    • Скачивание и выполнение payload-ов: Загрузка вредоносных модулей прямо в память без записи на диск, что обходит сигнатурные антивирусы.
    • Обход контроля: Использование методов обфускации кода, кодирование команд в Base64, запуск скриптов из реестра или напрямую из памяти для минимизации следов на диске.
    • Похиление данных: Доступ к реестру, файлам, Credential Manager для извлечения учетных данных.
  • Журналирование и обнаружение: Современные версии PowerShell (5.0+) включают расширенное журналирование (Module/ ScriptBlock/ Transcription Logging), которое можно включить для детальной аудиторской записи всех выполненных команд и скриптов, что критически важно для обнаружения злоупотреблений.

Борьба с вредоносным использованием PowerShell требует многоуровневого подхода: ограничение прав исполнения (например, через Constrained Language Mode), включение и анализ расширенных логов (интеграция с SIEM), использование EDR-решений для поведенческого анализа запуска необычных команд PowerShell, а также регулярные аудиты и принцип минимальных привилегий. PowerShell стал настолько распространенным инструментом атак, что многие фреймворки для пентестов (например, EmpirePowerSploitCobalt Strike) используют его в качестве основной нагрузки.

Продолжение ниже

Боссы российского кибербеза

Упоминания