通过机器学习来检测Powershell恶意行为

最新推荐文章于 2025-09-11 11:32:57 发布
原创 最新推荐文章于 2025-09-11 11:32:57 发布 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了Powershell在网络安全中的流行及其挑战传统检测的问题。通过NLP检测Powershell恶意活动,文章介绍了火眼的深度学习检测引擎优势,包括自动学习恶意模式和降低攻击者绕过成本。重点讨论了Powershell的灵活性和检测复杂性,以及经济因素对攻击者选择它的影响。

讲在前面

国内外的各大厂商以及各类研究员多年来对在网络威胁中使用Powershell进行渗透的行为做了不同形式的报告,那么,为什么Poweshell在近几年的渗透中很受攻击中追捧呢,最大的特点就是Powershell的灵活性和丰富的功能使常规检测形同虚设。这篇文章在火眼(FireEye)的通过机器学习来检测Powershell恶意行为研究基础上进行部分修改后展示。

通过这篇文章,读者将会简单学习到:

  • 为什么传统的“基于签名”或“基于规则”的检测引擎检测Powershell的威胁会遇到瓶颈
  • 如何使用自然语言处理(NLP)来应对这一挑战
  • 如何检测混淆了的Powershell命令

瓶颈问题的背景

Powershell是近些年受攻击者追捧的最受欢迎的工具之一,通过火眼的威胁动态威胁情报(DTI)云收集的数据显示,恶意Powershell攻击在2017年全年不断增加。


 

注意:

这里读者可以参考PowerShell攻击中使用战术,技术

最低0.47元/天 解锁文章
[网络安全自学篇] 十九.Powershell基础入门及常见用法(一)
杨秀璋的专栏
10-28 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了XSS跨站脚本攻击,从原理、示例、危害到三种常见类型(反射型、存储型、DOM型),并结合代码示例进行详细讲解。这篇文章将讲解Powershell基础入门知识,包括常见的用法,涉及基础概念、管道和重定向、执行外部命令、别名用法、变量定义等。Powershell被广泛应用于安全领域,甚至成为每一位Web安全必须掌握的技术。
[系统安全] 四十三.Powershell恶意代码检测系列 (5)抽象语法树自动提取万字详解
杨秀璋的专栏
07-02 4914
系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文简单介绍了PowerShellPowershell恶意代码检测总结及抽象语法树(AST)提取,主要从论文的角度讲解。这篇文章将详细介绍抽象语法树的抽取方法,通过官方提供的接口实现,包括抽象语法树可视化和节点提取。希望这篇文章对您有帮助,也推荐大家去阅读论文,且看且珍惜。...
Powershell恶意代码的N种姿势 - FreeBuf.pdf
07-23
powershell内网渗透很好的,推荐一下,网络安全从业者,推荐的学习的脚本,在APT渗透测试中也很好
使用VSCode远程调试恶意Powershell脚本
安全杂货铺
10-09 1009
概述 在野的Powershell恶意脚本总是经过多重混淆、加密,直接静态分析难以得知脚本具体有什么恶意行为,所以需要对其进行动态调试。目前最常用的Powershell调试器是ISE,但ISE没有较友好的调试窗口,使得调试脚本时效率低下,下面,将介绍使用VSCode实现远程调试Powershell脚本,帮助你提升解密分析Powershell恶意脚本的效率。 样本获取 本次演示所使用的样本为一个Powershell后门,其特点是有多层恶意代码,会从C&C服务器多次加载不同payload,样本地址为:ht
利用Hook的方式监控powershell的命令行参数
被遗弃的庸才博客
01-06 906
背景 之前老哥在搞powershell,然后我也了解一下,随后找到了一个系统函数。 步骤 首先一般样本在执行powershell的时候都是,powershell.exe + 命令行参数,这里用x96的来添加参数,先利用notepad试试水。 然后在microsoft.powershell.consolehost.ni.dll:Microsoft.PowerShell.ConsoleHost.DoRunspaceLoop(System.String, Boolean, System.Collect
5、基于机器学习的恶意软件检测技术全解析
perl8的博客
07-19 58
本文深入解析了基于机器学习的恶意软件检测技术,涵盖动态分析、文件类型检测、相似度测量以及N-gram提取等多个方面。通过使用Cuckoo Sandbox进行行为分析,结合机器学习分类器检测文件类型,利用ssdeep测量文件相似度,并通过N-gram提取文本特征,能够更高效地识别恶意软件。同时,文章探讨了这些技术的综合应用及未来发展趋势,为构建更强大的恶意软件检测系统提供参考。
[网络安全自学篇] 八十八.基于机器学习的恶意代码检测技术详解
热门推荐
杨秀璋的专栏
07-19 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了传统的恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。这篇文章将介绍基于机器学习的恶意代码检测技术,主要参考郑师兄的视频总结,包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测机器学习算法在工业界的应用。同时,我再结合自己的经验进行扩充,详细分享了基于机器学习的恶意代码检测技术,基础性文章,希望对
5、利用词级语言模型检测恶意 PowerShell
最新发布
c7d8e的博客
09-11 35
本文提出了一种基于词级语言模型和机器学习的恶意PowerShell脚本检测方法,通过静态分析实现对混淆脚本的有效识别,无需依赖耗时的动态分析。研究结合BoW、LSI和Doc2Vec等自然语言处理技术与SVM、RandomForest、XGBoost等分类器,在不平衡数据集上实现了最高约0.95的准确率,其中LSI与XGBoost组合表现最佳。实验结果表明,该方法能有效检测超过50%的未知恶意PowerShell脚本,为网络安全防御提供了高效可行的新思路。
机器学习-朴素贝叶斯(侮辱类词汇检测
Vivinia的博客
07-17 1197
根据公式: 可以得出: 这里进行计算时,只需要计算分子,比较大小,因为分母只是对数值有影响,对两个数的比较不会产生影响 import numpy as np """创建数据集""" def loadDataSet(): postingList = [['my', 'dog', 'has', 'flea', 'problems', 'help', 'please'], ...
监控渗透测试中powershell白名单利用行为
12306小哥
05-08 815
简介 您可以使用PowerShell.exe从另一个工具(例如Cmd.exe)的命令行启动PowerShell会话,也可以在PowerShell命令行启动新会话。从此处阅读Microsoft Windows官方网站上的更多信息。 补充说明:在高版本powershell(V5以上含V5)中,可以通过配置策略,对进程命令行参数进行记录,具体策略可参考powershell事件。同样也可以在不同版本操作系统中部署sysmon,通过sysmon日志进行监控。 基础日志 windows 安全日志/SYSMON日志(需要
Meteasploit技术
m0_65332604的博客
04-06 2390
在使用Kali操作系统是应注意即使更新源,就像平时及时更新手机APP更新命令如下: apt-get update:只更新软件包的索引源,作用:同步源的软件包的索引信息,从而进行软件更新。 Apt-get upgrade:升级系统上安装的所有软件包,如果失败则保持更新之前的状态。 Apt-get dist-upgrade:升级整个Liunux系统(不仅升级所有已安装的软件包,而且会处理升级过程中可能出现的冲突,在某些情况下,他的部分升级需要人工参与)。 渗透攻击大致步骤: *扫描目标及系统,寻找可用
PowerShell中出现因为在此系统中禁止执行脚本解决方法
weixin_44022064的博客
12-13 367
直接运行powershell时提示“无法加载文件ps1,因为在此系统中禁止执行脚本。有关详细信息,请参阅 "get-help about_signing"。 主要是由于没有权限执行脚本。 运行get-help about_signing 提示了解执行策略输入 get-executionpolicy 显示 Restricted 即不允许执行任何脚本。 通过命令 get-help se...
逐行分析PowerShell 恶意代码
weixin_33982670的博客
09-19 1023
本文讲的是逐行分析PowerShell 恶意代码,PowerShell是恶意软件作者用于在受害者计算机上获得立足点的首选程序。PowerShell被经常使用的一个原因是因为它能够更改操作系统和系统资源。它根据具体的功能将本机的Windows命令行提升到了另一个级别。一旦恶意进程能够以提升的权限执行PowerShell命令行,那么该恶意软件的能力将变得“无...
powershell中禁止执行脚本解决办法
kapuliyuehan的专栏
03-17 2022
无法加载文件 C:\Windows\System32\WindowsPowerShell\v1.0\profile.ps1,因为在此系统中禁止执行脚本。有关详细信息,请参阅 打开powershell的界面 1、输入get-ExecutionPolicy命令----得到的返回值如果是Restricted则说明当前的权限不具备安装模块的权限 2、输入set-Execution
PowerShell脚本执行出错解决方法
laplacepoisson的博客
10-22 3408
PowerShell脚本执行出错 今天在在vscode的终端使用nodemon打开服务器express脚本的时候,显示报错信息如下: nodemon : 无法加载文件 C:\Users…,因为在此系统上禁止运行脚本。有关详细信息,请参阅 https:/go.microsoft.com/fwlink/ 于是上网查了一下资料,发现有可能是在计算机上启动PowerShell 时,执行策略很可能是 Restricted(默认策略) 在终端里输入get-executionpolicy可以查看此时的执行策略。 R
解决-linux服务器被执行恶意脚本代码
WHJwhj552200的博客
11-18 1605
删除root的定时任务后,发现进程又重启了(用户是nobody),所以需要删除其他用户的定时任务。这是所有用户crontab文件存放的目录,以用户名命名。crontab -e:编辑并删除定时任务代码。但是发现杀死进程后,它又重新启动,所以应该是使用了定时任务。命令:crontab -l :查看定时任务代码。直接删除某个用户的定时任务文件即可。发现并不是执行某个程序占用资源。
[网络安全自学篇] 二十.Powershell基础入门及常见用法(二)
杨秀璋的专栏
10-29 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Powershell基础入门知识,涉及基础概念、管道和重定向、执行外部命令、别名用法、变量定义等。这篇文章将从Powershell条件语句、循环语句、数组、函数 、字符串操作、注册表访问等方面讲解。Powershell被广泛应用于安全领域,甚至成为每一位Web安全必须掌握的技术。
DOS 命令,power shell
机器学习-深度学习-图像处理-opencv-段子
04-13 720
https://learnpythonthehardway.org/book/appendixa.html
小技巧——PowerShell 在此系统上禁止运行脚本,如何解决
qq_43201350的博客
03-18 1050
需要改变RemoteSigned的执行策略。具体操作如下: 1、win10搜索 Windos PowerShell 管理员权限打开 (不是cmd,切记!) 2、设置权限 执行如下命令: set-ExecutionPolicy RemoteSigned 选择Y即可! 3、查询 输入以下命令查看当前的执行策略权限状态。 get-ExecutionPolicy 如果是RemoteSigned,则已修改成功。 ...
DrSemu:基于动态行为的恶意软件检测沙盒工具
这种细粒度的监控使得系统可以精确捕捉恶意行为模式,比如:异常的进程注入、直接系统调用(Direct Syscall)绕过API钩子、无文件攻击中的PowerShell滥用、反射式DLL注入等高级规避技巧。 最为关键的是,DrSemu ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值