[发明专利]一种基于Powershell脚本的去混淆方法

说明书

一种基于Powershell脚本的去混淆方法包括对文档进行预处理，提供Office文档自动运行的虚拟环境，并将宏安全性降到最低；利用Hook机制将Powershell代码从文档内混淆过的代码中提取出来；根据文档内恶意Powershell的混淆特征获取原始Powershell。有益效果在于：该方法可以高效快速的提取恶意文档中嵌入的Powershell，获得原始的Powershell脚本，便于安全人员进一步深度分析，对攻击的溯源取证也有一定的贡献。

技术领域

本发明涉及安全技术领域，尤其是一种基于Powershell脚本的去混淆方法。

背景技术

由于反病毒技术快速发展，可执行恶意程序的传播变得越来越困难，攻击者越来越倾向利用目标电脑中已经存在的工具来进行恶意行为，这种做法会留下更少的攻击痕迹，使检测更加困难。自从Microsoft Powershell被Windows系统默认安装，Powershell就成为许多攻击小组攻击链中的一个理想工具。恶意Powershell脚本通常扮演下载器的角色，最常利用的形式就是捆绑Office宏进行入侵[1]。如图1所示，攻击者通常会通过社会工程的伪装方法，欺骗用户打开Office文档（Word、Excel），并引导用户开启宏权限，用户一旦降低宏权限，嵌入的恶意Powershell脚本根据指令下载payload完成恶意行为[2]。

因为Powershell具备脚本语言的特性，恶意Powershell非常容易被混淆，目前已统计20余种混淆方式，包括大写截断和转义字符混淆，例如：powershell.exe -EncodeCommand命令被混淆成powershell.exe -^e^c^或powershell.exe-eNco等，所以传统的基于静态签名和文件哈希值的检测方法已经失效。研究表明[1]，超过一半的Powershell脚本是从命令行执行的，Windows也提供了一些执行策略来防止恶意Powershell脚本启动，然而这些策略会被攻击者轻易绕过，比如使用 Invoke-Expression命令， 该命令会接受任何字符串输入并将它视为PowerShell 代码。

目前对于Powershell的检测还大多处于对Office宏的检测，一般情况下，嵌入Powershell的Office宏中会出现Shell、VBA.Shell等命令，大多数杀毒引擎根据静态匹配关键字的方式来对Office文档性质作出判断。对于Powershell的提取与去混淆建立在人工分析基础上，通常是安全专家利用经验进行手动分析。

参考文献：

[1] Candid Wueest.The increased use of Powershell in attacks[R].CA:Symantec Corporation World Headquarters,2016:1-18。

[2]McAfee.McAfee Labs Threat Report[R].CA:McAfee,2017:53-58。

当前研究方法存在的主要不足是：（1）利用对Office宏的检测来替代恶意Powershell的检测出现极高的误报率，正常文档同样会使用Shell命令对系统功能进行调用；（2）目前对于恶意Powershell脚本的提取仍然处于人工手动分析，随着利用恶意Powershell的样本数量越来越多，混淆方式越来越复杂，单靠人工分析显然不能满足需求；（3）对于文档中嵌入的混淆过的Powershell脚本，无法自动化获取原始Powershell进行深度分析。

发明内容

本发明的目的针对现有技术存在的缺陷，提出一种基于Powershell脚本的去混淆方法，将Powershell脚本从Office文档中提取出来，并对混淆过的Powershell进行自动化解混淆，获取原始Powershell，供安全人员进一步分析，加速安全事件响应速度。

所述一种基于Powershell脚本的去混淆方法包括如下步骤：