最強大的惡意軟件工具并非暗網深處的神器，它就藏在每個企業的“床底下”

PowerShell是一個強大的命令行工具，是微軟公司為Windows環境開發的殼程序（shell）及腳本語言技術，讓Windows也擁有了類似UNIX的功能強大的殼程序。但是PowerShell的強大同時也是一柄雙刃劍，成為企業信息安全的心腹大患。

根據安全公司CaronBlack的最新研究報告（點擊下面鏈接下載），高達38%的復合惡意軟件軟件攻擊開始將PowerShell作為工具之一。

攻擊者如此青睞PowerShell的原因是PowerShell在企業中隨處可見，大多數安全人士并不會將PowerShell視為安全威脅。這使得PowerShell成為最有效的攻擊模塊之一。PowerShell的腳本能夠在內存中運行，而且不會在磁盤中留下任何文件痕跡，在系統中產生的“動靜”很小，因此往往不會引起人們的注意。根據CaronBlack的報告，與PowerShell有關的攻擊中，31%的受害企業都沒有收到安全警報。

PowerShell在惡意軟件攻擊中流行的另外一個原因是為PowerShell編寫腳本的效率很高，比起開發惡意軟件二進制代碼來說要容易得多，在達到同樣效果的前提下，攻擊者自然愿意選擇PowerShell。

對于PowerShell的惡意使用，目前尚未有效防范手段，因此IT專業人士需要對企業內部應用對PowerShell的調用進行更加嚴密的監控，記錄PowerShell的活動并通過分析日志來發現異常行為，創建規則在發生異常行為時報警，例如微軟Office應用不會不會在處理中調用PowerShell，因此出現這種情況就需要格外警惕。

安全人士還需要經常審視PowerShell的命令行，通常合法腳本的內容和目的都很直觀，而攻擊腳本通常都使用Base64加密命令行，而且經常把所有整個腳本團塞在一行中，一眼就能看出異常。