[发明专利]一种PowerShell代码的去混淆方法及装置

说明书

本发明提供一种PowerShell代码的去混淆方法及装置，所述方法包括：提供目标Office文档自动运行的虚拟环境；利用Hook机制从所述目标Office文档内混淆过的代码中提取出初步去混淆的PowerShell代码；分析所述初步去混淆的PowerShell代码的混淆特征，并根据所述混淆特征对所述初步去混淆的PowerShell代码进行解混淆，获取原始PowerShell代码。本发明通过结合动静态解混淆方法，将混淆过的PowerShell代码从Office文档中提取出来并进行自动解混淆，可显著提高安全分析的效率。

技术领域

本发明涉及安全分析技术领域，更具体地，涉及一种PowerShell代码的去混淆方法及装置。

背景技术

由于反病毒技术的快速发展，可执行恶意程序的传播变得越来越困难，攻击者越来越倾向利用目标电脑中已经存在的工具来进行恶意行为，这种做法会留下更少的攻击痕迹，使检测更加困难。自从MicrosoftPowerShell被Windows系统默认安装，PowerShell就成为许多攻击小组攻击链中的一个理想工具。恶意PowerShell脚本通常扮演下载器的角色，最常利用的形式是捆绑Office宏进行入侵，攻击者通常会通过社会工程的伪装方法，欺骗用户打开Office文档(Word、Excel)，并引导用户开启宏权限，用户一旦开启，嵌入的恶意PowerShell脚本会根据指令将远程服务器中托管的恶意文件下载至目标用户的设备之中，完成恶意行为。

攻击者为了增强攻击活动的隐蔽性，往往会在PowerShell代码运行时进行混淆编码，又由于PowerShell具备脚本语言的特性，PowerShell代码非常容易被混淆，目前已统计20余种混淆方式，包括大写截断和转义字符混淆等，例如：PowerShell.exe-EncodeCommand命令被混淆成PowerShell.exe-^e^c^或PowerShell.exe-eNco等，所以传统的基于静态签名和文件哈希值的检测方法已经失效。研究表明，超过一半的PowerShell脚本是从命令行执行的，Windows也提供了一些执行策略来防止恶意PowerShell脚本启动，然而这些策略会被攻击者轻易绕过，比如使用Invoke-Expression命令，该命令会接受任何字符串输入并将它视为PowerShell代码。目前对于恶意PowerShell的检测还大多处于对Office宏的检测，一般情况下，嵌入PowerShell的Office宏中会出现Shell、VBA.Shell等命令，大多数杀毒引擎根据静态匹配关键字的方式来对Office文档性质作出判断。对于PowerShell的提取与去混淆则建立在人工分析基础上，通常是安全专家利用经验进行手动分析。

但是，利用对Office宏的检测来替代恶意PowerShell的检测出现极高的误报率，因为正常文档同样会使用Shell命令对系统功能进行调用；目前对于恶意PowerShell脚本的提取仍然处于人工手动分析，随着利用恶意PowerShell的样本数量越来越多，混淆方式越来越复杂，单靠人工分析显然不能满足需求；对于文档中嵌入的混淆过的Powershell脚本，无法自动化获取原始Powershell进行深度分析。

发明内容

为了克服上述问题或者至少部分地解决上述问题，本发明提供一种PowerShell代码的去混淆方法及装置。

根据本发明的一个方面，提供一种PowerShell代码的去混淆方法，包括：

提供目标Office文档自动运行的虚拟环境；

利用Hook机制从所述目标Office文档内混淆过的代码中提取初步去混淆的PowerShell代码；

分析所述初步去混淆的PowerShell代码的混淆特征，并根据所述混淆特征对所述初步去混淆的PowerShell代码进行解混淆，获取原始PowerShell代码。

根据本发明的另一个方面，提供一种PowerShell代码的去混淆装置，包括：