一種基于Powershell腳本的去混淆方法包括對文檔進行預處理，提供Office文檔自動運行的虛擬環(huán)境，并將宏安全性降到最低；利用Hook機制將Powershell代碼從文檔內(nèi)混淆過的代碼中提取出來；根據(jù)文檔內(nèi)惡意Powershell的混淆特征獲取原始Powershell。有益效果在于：該方法可以高效快速的提取惡意文檔中嵌入的Powershell，獲得原始的Powershell腳本，便于安全人員進一步深度分析，對攻擊的溯源取證也有一定的貢獻。

技術(shù)領(lǐng)域

本發(fā)明涉及安全技術(shù)領(lǐng)域，尤其是一種基于Powershell腳本的去混淆方法。

背景技術(shù)

由于反病毒技術(shù)快速發(fā)展，可執(zhí)行惡意程序的傳播變得越來越困難，攻擊者越來越傾向利用目標電腦中已經(jīng)存在的工具來進行惡意行為，這種做法會留下更少的攻擊痕跡，使檢測更加困難。自從Microsoft Powershell被Windows系統(tǒng)默認安裝，Powershell就成為許多攻擊小組攻擊鏈中的一個理想工具。惡意Powershell腳本通常扮演下載器的角色，最常利用的形式就是捆綁Office宏進行入侵[1]。如圖1所示，攻擊者通常會通過社會工程的偽裝方法，欺騙用戶打開Office文檔（Word、Excel），并引導用戶開啟宏權(quán)限，用戶一旦降低宏權(quán)限，嵌入的惡意Powershell腳本根據(jù)指令下載payload完成惡意行為[2]。

因為Powershell具備腳本語言的特性，惡意Powershell非常容易被混淆，目前已統(tǒng)計20余種混淆方式，包括大寫截斷和轉(zhuǎn)義字符混淆，例如：powershell.exe -EncodeCommand命令被混淆成powershell.exe -^e^c^或powershell.exe-eNco等，所以傳統(tǒng)的基于靜態(tài)簽名和文件哈希值的檢測方法已經(jīng)失效。研究表明[1]，超過一半的Powershell腳本是從命令行執(zhí)行的，Windows也提供了一些執(zhí)行策略來防止惡意Powershell腳本啟動，然而這些策略會被攻擊者輕易繞過，比如使用 Invoke-Expression命令， 該命令會接受任何字符串輸入并將它視為PowerShell 代碼。

目前對于Powershell的檢測還大多處于對Office宏的檢測，一般情況下，嵌入Powershell的Office宏中會出現(xiàn)Shell、VBA.Shell等命令，大多數(shù)殺毒引擎根據(jù)靜態(tài)匹配關(guān)鍵字的方式來對Office文檔性質(zhì)作出判斷。對于Powershell的提取與去混淆建立在人工分析基礎(chǔ)上，通常是安全專家利用經(jīng)驗進行手動分析。

參考文獻：

[1] Candid Wueest.The increased use of Powershell in attacks[R].CA:Symantec Corporation World Headquarters,2016:1-18。

[2]McAfee.McAfee Labs Threat Report[R].CA:McAfee,2017:53-58。

當前研究方法存在的主要不足是：（1）利用對Office宏的檢測來替代惡意Powershell的檢測出現(xiàn)極高的誤報率，正常文檔同樣會使用Shell命令對系統(tǒng)功能進行調(diào)用；（2）目前對于惡意Powershell腳本的提取仍然處于人工手動分析，隨著利用惡意Powershell的樣本數(shù)量越來越多，混淆方式越來越復雜，單靠人工分析顯然不能滿足需求；（3）對于文檔中嵌入的混淆過的Powershell腳本，無法自動化獲取原始Powershell進行深度分析。

發(fā)明內(nèi)容

本發(fā)明的目的針對現(xiàn)有技術(shù)存在的缺陷，提出一種基于Powershell腳本的去混淆方法，將Powershell腳本從Office文檔中提取出來，并對混淆過的Powershell進行自動化解混淆，獲取原始Powershell，供安全人員進一步分析，加速安全事件響應速度。

所述一種基于Powershell腳本的去混淆方法包括如下步驟：