CN106650447A

CN106650447A - 一种防御PowerShell恶意代码执行的方法及系统

Info

Publication number: CN106650447A
Application number: CN201611238998.4A
Authority: CN
Inventors: 高喜宝; 李柏松
Original assignee: Beijing Antiy Electronic Equipment Co Ltd
Current assignee: Beijing Antiy Electronic Equipment Co Ltd
Priority date: 2016-12-28
Filing date: 2016-12-28
Publication date: 2017-05-10

Abstract

本发明公开了一种防御PowerShell恶意代码执行的方法及系统，包括：获取系统内与PowerShell.exe相关的进程链；将所述进程链与进程链白名单匹配，若匹配成功则允许操作执行；将所述进程链与进程链黑名单匹配，若匹配成功则阻止操作执行；若所述进程链与进程链白名单和进程链黑名单均匹配失败，则由用户决定是否允许操作执行。本发明所述技术方案能够克服传统检测方法无法有效防御PowerShell恶意代码执行的问题。

Description

一种防御PowerShell恶意代码执行的方法及系统

技术领域

本发明涉及信息安全技术领域，尤其涉及一种防御PowerShell恶意代码执行的方法及系统。

背景技术

目前使用PowerShell编写的恶意脚本具有无实体文件的特点，这种特点可以突破传统反病毒产品的检测，并被越来越多的攻击者所使用。近年来，更被APT（高级可持续威胁）和勒索软件频繁使用。

目前大部分反病毒软件是基于对实体文件进行提取特征的检测，对无实体恶意代码的检测存在一定程度上的局限性。现有的内存检测更是基于代码基因特征的形式对恶意代码进行检测，而加密型PowerShell脚本并不能使用这种提取代码基因特征的方法进行检测。

发明内容

针对上述技术问题，本发明通过对Powershell恶意代码进行分析，预先生成进程链白名单和进程链黑名单，进而基于进程链关系的匹配，主动防御利用PowerShell执行恶意操作的行为，弥补了传统反病毒产品无法有效检测PowerShell恶意代码的空白。

本发明采用如下方法来实现：一种防御PowerShell恶意代码执行的方法，包括：

获取系统内与PowerShell.exe相关的进程链；

将所述进程链与进程链白名单匹配，若匹配成功则允许操作执行；

将所述进程链与进程链黑名单匹配，若匹配成功则阻止操作执行；

若所述进程链与进程链白名单和进程链黑名单均匹配失败，则由用户决定是否允许操作执行。

进一步地，所述获取系统内与PowerShell.exe相关的进程链，具体为：

利用进程快照将系统内所有进程记录到进程列表中；

获取进程列表中每个进程的父进程，若无父进程则判定为根进程，进而形成二节点的进程关系；

基于二节点的进程关系得到多节点的进程关系，进而得到系统内各进程链；

筛选与PowerShell.exe相关的进程链。

上述方法中，所述进程链白名单，包括：Explorer.exe->PowerShell.exe；Explorer.exe->cmd.exe->PowerShell.exe。

上述方法中，所述进程链黑名单中存储有利用其它程序间接调用PowerShell.exe的所有进程链，包括：

Explorer.exe->WINWORD.EXE->cmd.exe->PowerShell.exe；

Explorer.exe->EXCEL.EXE->cmd.exe->PowerShell.exe；

Explorer.exe->POWERPNT.EXE->cmd.exe->PowerShell.exe；

Explorer.exe-> Wscript.exe->cmd.exe->PowerShell.exe；

Explorer.exe->*.EXE->cmd.exe->PowerShell.exe；

Explorer.exe->WINWORD.EXE->PowerShell.exe；

Explorer.exe->EXCEL.EXE->PowerShell.exe；

Explorer.exe->POWERPNT.EXE->PowerShell.exe；

Explorer.exe-> Wscript.exe->PowerShell.exe；

Explorer.exe->*.EXE->PowerShell.exe；其中，所述*.EXE为除cmd.exe之外的其他进程。

本发明可以采用如下系统来实现：一种防御PowerShell恶意代码执行的系统，包括：

进程链获取模块，用于获取系统内与PowerShell.exe相关的进程链；

白名单匹配模块，用于将所述进程链与进程链白名单匹配，若匹配成功则允许操作执行；

黑名单匹配模块，用于将所述进程链与进程链黑名单匹配，若匹配成功则阻止操作执行；

弹窗提示模块，用于若所述进程链与进程链白名单和进程链黑名单均匹配失败，则由用户决定是否允许操作执行。

进一步地，所述进程链获取模块，具体用于：

利用进程快照将系统内所有进程记录到进程列表中；

筛选与PowerShell.exe相关的进程链。

上述系统中，所述进程链白名单，包括：Explorer.exe->PowerShell.exe；Explorer.exe->cmd.exe->PowerShell.exe。

上述系统中，所述进程链黑名单中存储有利用其它程序间接调用PowerShell.exe的所有进程链，包括：

Explorer.exe->WINWORD.EXE->cmd.exe->PowerShell.exe；

Explorer.exe->EXCEL.EXE->cmd.exe->PowerShell.exe；

Explorer.exe->POWERPNT.EXE->cmd.exe->PowerShell.exe；

Explorer.exe-> Wscript.exe->cmd.exe->PowerShell.exe；

Explorer.exe->*.EXE->cmd.exe->PowerShell.exe；

Explorer.exe->WINWORD.EXE->PowerShell.exe；

Explorer.exe->EXCEL.EXE->PowerShell.exe；

Explorer.exe->POWERPNT.EXE->PowerShell.exe；

Explorer.exe-> Wscript.exe->PowerShell.exe；

综上，本发明通过分析PowerShell恶意代码的特点，使用进程链关系进行主动防御，将用户常规场景下使用PowerShell的进程链作为进程链白名单，将利用其它应用程序间接调用PowerShell的进程链关系作为进程链黑名单，进而及时有效地阻止非法进程的执行。

有益效果为：本发明所述技术方案能够克服传统检测工具需要依赖于已知特征的缺陷，本发明所述方法及系统不仅可供个人使用，同时可供企业内部使用，不仅能够有效阻止已知的基于PowerShell恶意代码的执行，而且能够有效防御未知的基于PowerShell恶意代码的执行，进而能够阻止利用PowerShell进行的APT攻击和勒索软件的入侵。

附图说明

为了更清楚地说明本发明的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的一种防御PowerShell恶意代码执行的方法实施例流程图；

图2为本发明提供的一种防御PowerShell恶意代码执行的系统实施例结构图。

具体实施方式

本发明给出了一种防御PowerShell恶意代码执行的方法及系统实施例，为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明：

目前PowerShell恶意代码被多种恶意程序利用，来传播和执行具有实际恶意功能的程序。主要包括APT和勒索软件，例如：office宏代码中嵌入PowerShell代码、安装包程序嵌入PowerShell代码、数据库文件嵌入PowerShell代码等等。由于将脚本代码嵌入其他程序的方法免杀能力强，且代码隐蔽性功能好，被诸多恶意代码作者利用。而正常使用PowerShell脚本的用户不会将代码嵌入到其他应用程序中。基于此，本发明提供如下实施例在无特征的情况下有效阻止PowerShell恶意代码的执行。

本发明首先提供了一种防御PowerShell恶意代码执行的方法实施例，如图1所示，包括：

S101：获取系统内与PowerShell.exe相关的进程链；

具体为：利用进程快照将系统内所有进程记录到进程列表中；

筛选与PowerShell.exe相关的进程链。

其中，可以利用CreateToolhelp32Snapshot()函数获取进程快照。

S102：将所述进程链与进程链白名单匹配，若匹配成功则允许操作执行，否则执行S103；

其中，正常用户在使用PowerShell.exe时，其进程链关系中的父进程为Explorer.exe或者cmd.exe；因此，所述进程链白名单，包括：Explorer.exe->PowerShell.exe；Explorer.exe->cmd.exe->PowerShell.exe。

S103：将所述进程链与进程链黑名单匹配，若匹配成功则阻止操作执行，否则执行S104；

其中，所述进程链黑名单中存储有利用其它程序间接调用PowerShell.exe的所有进程链，包括：

Explorer.exe->WINWORD.EXE->cmd.exe->PowerShell.exe；

Explorer.exe->EXCEL.EXE->cmd.exe->PowerShell.exe；

Explorer.exe->POWERPNT.EXE->cmd.exe->PowerShell.exe；

Explorer.exe-> Wscript.exe->cmd.exe->PowerShell.exe；

Explorer.exe->*.EXE->cmd.exe->PowerShell.exe；

Explorer.exe->WINWORD.EXE->PowerShell.exe；

Explorer.exe->EXCEL.EXE->PowerShell.exe；

Explorer.exe->POWERPNT.EXE->PowerShell.exe；

Explorer.exe-> Wscript.exe->PowerShell.exe；

S104：弹窗给用户，由用户决定是否允许操作执行。

其中，若当前的进程链关系与进程链白名单和进程链黑名单均匹配失败，则弹窗给用户，如果不是用户在使用PowerShell则用户会选择阻止操作执行。而上述进程链白名单和进程链黑名单基本包含了所有进程链关系，因此，除非特殊情况，基本不需要用户去主动干预，本发明所述方法实施例可以自动完成对PowerShell恶意代码执行的阻止操作。

本发明其次提供了一种防御PowerShell恶意代码执行的系统实施例，如图2所示，包括：

进程链获取模块201，用于获取系统内与PowerShell.exe相关的进程链；

白名单匹配模块202，用于将所述进程链与进程链白名单匹配，若匹配成功则允许操作执行；

黑名单匹配模块203，用于将所述进程链与进程链黑名单匹配，若匹配成功则阻止操作执行；

弹窗提示模块204，用于若所述进程链与进程链白名单和进程链黑名单均匹配失败，则由用户决定是否允许操作执行。

优选地，所述进程链获取模块，具体用于：

利用进程快照将系统内所有进程记录到进程列表中；

筛选与PowerShell.exe相关的进程链。

上述系统实施例中，所述进程链白名单，包括：Explorer.exe->PowerShell.exe；Explorer.exe->cmd.exe->PowerShell.exe。

上述系统实施例中，所述进程链黑名单中存储有利用其它程序间接调用PowerShell.exe的所有进程链，包括：

Explorer.exe->WINWORD.EXE->cmd.exe->PowerShell.exe；

Explorer.exe->EXCEL.EXE->cmd.exe->PowerShell.exe；

Explorer.exe->POWERPNT.EXE->cmd.exe->PowerShell.exe；

Explorer.exe-> Wscript.exe->cmd.exe->PowerShell.exe；

Explorer.exe->*.EXE->cmd.exe->PowerShell.exe；

Explorer.exe->WINWORD.EXE->PowerShell.exe；

Explorer.exe->EXCEL.EXE->PowerShell.exe；

Explorer.exe->POWERPNT.EXE->PowerShell.exe；

Explorer.exe-> Wscript.exe->PowerShell.exe；

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同或相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

如上所述，上述实施例给出了一种防御PowerShell恶意代码执行的方法及系统实施例，首先获取系统内与PowerShell.exe相关的进程链，并与预先准备的进程链白名单和进程链黑名单匹配，若匹配成功则按照预设操作执行，否则弹窗提示用户，由用户选择如何操作。上述实施例利用与PowerShell相关的进程链关系进而判定是否是PowerShell相关的恶意代码，进而弥补了反病毒软件对PowerShell恶意代码检测的空白。

以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换，均应涵盖在本发明的权利要求范围当中。

Claims

1.一种防御PowerShell恶意代码执行的方法，其特征在于，包括：

获取系统内与PowerShell.exe相关的进程链；

2.如权利要求1所述的方法，其特征在于，所述获取系统内与PowerShell.exe相关的进程链，具体为：

利用进程快照将系统内所有进程记录到进程列表中；

筛选与PowerShell.exe相关的进程链。

3.如权利要求1或2所述的方法，其特征在于，所述进程链白名单，包括：Explorer.exe->PowerShell.exe；Explorer.exe->cmd.exe->PowerShell.exe。

4.如权利要求1或2所述的方法，其特征在于，所述进程链黑名单中存储有利用其它程序间接调用PowerShell.exe的所有进程链，包括：

Explorer.exe->WINWORD.EXE->cmd.exe->PowerShell.exe；

Explorer.exe->EXCEL.EXE->cmd.exe->PowerShell.exe；

Explorer.exe->POWERPNT.EXE->cmd.exe->PowerShell.exe；

Explorer.exe-> Wscript.exe->cmd.exe->PowerShell.exe；

Explorer.exe->*.EXE->cmd.exe->PowerShell.exe；

Explorer.exe->WINWORD.EXE->PowerShell.exe；

Explorer.exe->EXCEL.EXE->PowerShell.exe；

Explorer.exe->POWERPNT.EXE->PowerShell.exe；

Explorer.exe-> Wscript.exe->PowerShell.exe；

5.一种防御PowerShell恶意代码执行的系统，其特征在于，包括：

6.如权利要求5所述的系统，其特征在于，所述进程链获取模块，具体用于：

利用进程快照将系统内所有进程记录到进程列表中；

筛选与PowerShell.exe相关的进程链。

7.如权利要求5或6所述的系统，其特征在于，所述进程链白名单，包括：Explorer.exe->PowerShell.exe；Explorer.exe->cmd.exe->PowerShell.exe。

8.如权利要求5或6所述的系统，其特征在于，所述进程链黑名单中存储有利用其它程序间接调用PowerShell.exe的所有进程链，包括：

Explorer.exe->WINWORD.EXE->cmd.exe->PowerShell.exe；

Explorer.exe->EXCEL.EXE->cmd.exe->PowerShell.exe；

Explorer.exe->POWERPNT.EXE->cmd.exe->PowerShell.exe；

Explorer.exe-> Wscript.exe->cmd.exe->PowerShell.exe；

Explorer.exe->*.EXE->cmd.exe->PowerShell.exe；

Explorer.exe->WINWORD.EXE->PowerShell.exe；

Explorer.exe->EXCEL.EXE->PowerShell.exe；

Explorer.exe->POWERPNT.EXE->PowerShell.exe；

Explorer.exe-> Wscript.exe->PowerShell.exe；