一切一个在 SpecterOps 上关心过我或我的同伴一段时间的人都了解我们都是 PowerShell 的忠实粉丝。 我参加 PowerShell 的攻击性项目早已有四年了, @mattifestation 是 PowerSploit 和各种各样保护性项目的创办人, @jaredcatkinson 很多年来一直在撰写 PowerShell 的保护性项目，我的很多同伴(@tifkin_, @enigma0x3, rvrsh3ll, @xorrior, @andrewchiles 等)过去两年里早已撰写了各种各样与安全性有关的 PowerShell 项目，总共千余行编码。

到迄今为止，挑选 PowerShell 的缘故应该是显而易见的; PowerShell 語言是图灵完备的，内置在当代 Windows 电脑操作系统中，你能用它做一切你要做的事儿。 大家对 PowerShell 的了解及其它在当代服务平台上的无所不在，促使它变成大家用于完成认证定义和快速成型技术的优选计算机语言，及其像 PowerShell Empire 那样更实际的项目。

在 PowerShell 精英团队应用 PowerShell 版本 5 完成了令人钦佩的工作中以后，一切都更改了(最少在一定水平上) 。最典型性的便是“PowerShell ? the Blue Team” 这篇 *** 文章在2015年6月发布(具备讥讽寓意的是，该 *** 文章发布于 Empire 发布前的一个月) ，这篇博闻详解了 PowerShell 模块中集成化的全部令人震惊的新的安全防范特点，从更强的脚本 *** 基因表达，到有一定深层的脚本 *** 堵塞纪录，AMSI 这些。 当有关这种主题风格的博闻的关注度慢慢变弱的情况下，我有一个轻度的察觉到，由于我感觉到主动进攻的 PowerShell 被给了一记致命性的严厉打击。

可是你猜猜怎样？ 三年过去，大家依然在很多情景中应用 PowerShell，(攻击性的)这片天并沒有塌下去。 针对基本上每一个保护性的发展，攻击性的团队通常以一样的 *** 作出了回复。 上年在 PSConfEU 的“Catch Me If You Can: PowerShell Red vs Blue”（捉到我假如你如果可以的话：PowerShell 的攻与防）演说中，我详细说明了朝向安全性的 PowerShell 历史时间，而@mattifestation 在大家的 敌人对策: PowerShell 课程内容 中，对 PowerShell 有关的安全管理干了一些深层次的绕开科学研究。

三年过去，有关为何大家可以再次应用 PowerShell 编码，我关键观查到二点:

· 「第二版本的难题」: 缺憾的是，很多布署了 PowerShell 版本 5的机构要不沒有卸载掉 PowerShell Version 2，要不出自于向后兼容的缘故具体安裝了版本2。版本2的 PowerShell 沒有运用 PowerShell 精英团队完成的一切令人钦佩的安全性维护特点，因而如果我们可以强制性这一版本的模块载入，那麼大家就没什么可担忧的了。实际上，这能够非常容易地保证，例如实行 powershell.exe -version 2, 或是在我们在应用应用@tifkin_ 撰写的UnmanagedPowerShell 项目时，我们可以手动式载入一切版本。而且大部分情况下，防护软件也不会检验出现异常的 PowerShell 寄主程序流程， 比如将 system.management.automation.dll 载入到非 powershell.exe 过程中。

· 欠缺集中的日志纪录: 从脚本 *** 块日志纪录的视角看来，PowerShell 针对大家这种 *** 攻击而言是恐怖的。 如同 Jeffrey Snover 和 Lee Holmes 在 2017年 DerbyCon 交流会主题风格演说中提及的,"我们知道你能挑选后漏洞检测的编程语言，大家很高兴你挑选了 PowerShell。" 殊不知，如同大家所见到的，为了更好地使这一系统软件在自然环境中合理，a) Windows 10 或 server 2016 必须被普遍的布署，b)日志务必在服务器等级上恰当开启，c)服务器日志务必分享到一个集中化的 SIEM 或 剖析服务平台，d)恶性事件响应者务必关心并对日志开展恰当的剖析，e)恶性事件响应者务必可以在有效的時间内采取行动。 假如这种一部分中的一切一部分出現常见故障(在大中型机构中经常会出现这类状况) ，蓝队和真实的 *** 攻击依然能够十分合理地应用具备攻击性的 PowerShell 工具包。

我们都是弗朗切斯 · 马奇常说的"深层攻击"的忠诚拥护者。 简单点来说，大家喜爱在单一专用工具或攻击性技术性在特殊自然环境中不成功时有一定的挑选。 有关这一点，大家早已讲了很多年了(和别的很多人一样) ，当谈论到 PowerShell 的情况时，转为攻击性 C# 是最更有意义的。 虽然你失去令人震惊的 PowerShell 管路及其启用载入运行内存中全部编码的并行处理底单的工作能力，但你依然保存了对早已存有的 .Net 库的全部浏览，并得到 附加的武器化空间向量(想一想@subtee’s 的各种各样应用软件白化绕开 *** ) ，有一些附加的搞混选择项，能够防止全部的 PowerShell 安全性维护。 虽然学习培训搭建一个 C# 项目而不是一个简易的 PowerShell 脚本 *** 会出现一些附加的成本费，但大家的确坚信 PowerShell 是一个非常好的通往 C# 的"有害通道"。

因此 讲完这一点，我觉得介绍一下我们在以往几个月里一直在做的一些事儿。

GhostPack

Ghostpack (现阶段)是之前 PowerShell 作用的各种各样 C# 完成的结合，包含今日发布的六个单独的工具箱—— Seatbelt, SharpUp, SharpRoast, SharpDump, SafetyKatz, 和 SharpWMI。 全部这种项目都将代管在 GhostPack 的 GitHub 代码仓库中，每一个项目做为一个单独的储存库提取。

附加表明: GhostPack 并不准备仅用 C# 编码，也不是纯碎的主动进攻工具包，虽然今日发布的项目全是 C# 编码。大家的方案是让机构容下很多与安全性有关的项目，而且期待这种项目并不是 PowerShell 有关的。 除此之外，为了更好地避免 防御者搭建签字检验该工具包(请考虑到标识每个创作者的 Twitter 登录名? ，大家现阶段不准备为一切项目发布二进制文件。 殊不知，全部的物品全是与 Visual Studio Community 2015 兼容的，因此 你非常容易就可以自身搭建。

充足公布: 这基本上不是什么"新"的物品，仅仅很多人 很多年来一直应用的同样技术性的不一样完成。 除此之外，这儿的全部编码都应当被觉得是 beta 版——它早已开展了一些检测，但依然存有很多的 bug)

保险带（Seatbelt）

Seatbelt 是目前为止发布的最丰富多彩的一个项目。 这是一个入侵检测安全大检查的交换所。 换句话说，它管理 *** 服务器数据信息的搜集，这种数据信息从攻击和防御的视角看来都可能是趣味的。 从 PowerShell 安全策略，到当今客户的 Kerberos 票据，到删掉的垃圾回收站项目，及其大量(当今查验项有40 !)