企业网安漏洞侦测之CMD与PowerShell风险探讨

CMD与PowerShell已成为隐性之企业网安漏洞。

CMD与PowerShell已是微软OS缺省的基本功能，却也是企业网安应用的双面刃。

即便PowerShell在缺省状态下将限制执行权限。PowerShell在系统管理员权限下执行Set-ExecutionPolicy RemoteSigned就可以启动，更何况在黑客入侵提权后，CMD与PowerShell变成一个隐性企业网安漏洞。

以下就举几个入侵窃取应用实例，来与大家分享，也借此机会检视企业与政府相关网安防守是否充足。

CMD隐写术来进行企业数据窃取

高科技业的智能财产是企业生存的重要基石，更是企业获利重要资产。许多顶尖企业或高敏感单位都导入强大DLP端点防护机制，来限制员工将企业敏感性信息传送到外部网络，进行轨迹记录分析；但是对于CMD与PowerShell却失去警戒心。

以CMD为例，利用copy指令就可以轻易将机台参数或是layout线路图，合并在一张照片中，这就是利用CMD所达成的隐写术，再以邮件或上网方式传送出去。

MIS或网安稽核大概只会看到一张不疑有他的照片，很少会去注意是一份重要信息隐藏其中。一来不需安装软件窃取，一个简单的指令就做到该有的逃脱隐匿。

CMD与WMIC来进行程序提权执行

进一步利用CMD环境执行WMIC，这就是黑客或是高段IT素养内部人员会用的手法，许多企业会将相关程序执行权限降级，维持基本可用权限，但是这样多的软件，总是有些需要高权限环境才能运行的状态。

此时可以利用WMIC进行权限状态检查与分析，就可以发现在低权限使用者状态下，仍有些应用程序在需要高权限目录下执行程序的应用，这时候只要发现当该程序目录具备可写、可执行、与高权限，就可以将所要执行的程序放置到该目录来执行，就可以进行入侵或窃取。

PowerShell的渗透与窃取

谈到这一点，熟捻黑客入侵手法的网安人员，应该都耳闻过PowerShell入侵(渗透)工具集，近期较为知名的如PoshC2，更是将CMD, JS, Java, wscript于一体的整合入侵应用，包含高端无档案式入侵应用，以及基本的屏幕截图等。

就以简单屏幕截图为例，许多企业与敏感单位，是全面防守屏幕截图，怕相关重要数据泄漏出去，可是使用PowerShell屏幕截图却有机会绕过防守，将机台信息图片给截录下来，透过PowerShell上传档案也基本功而已。

所以企业与高敏感单位，应该更积极检视目前的安全防守是否有效，才能提升企业网安防御的效果，有效针对特殊且简易的入侵窃取手法进行围堵。