攻击技术研判 | 持久化新方式：计划任务启动PowerShell.exe实现持久化

本次攻击过程如下图：

1.钓鱼文档通过远程模板注入执行PowerShell ，下载Colibri Loader并重命名为setup.exe

2. setup.exe执行计划任务实现持久化，同时释放并执行重命名为Get-Variable.exe的Colibri Loader

3.Get-Variable.exe与C2 进行通信，并释放执行信息窃取恶意软件Mars Stealer，该信息窃取器重命名为input.exe

4.input.exe执行信息窃取操作并回传窃取的数据给C2服务器Vidar，实现恶意攻击

亮点 利用PowerShell启动时执行Get-Variable执行恶意文件

在此次攻击中，攻击者实现持久化的步骤如下：

1.将恶意程序放在%APPDATA%LocalMicrosoftWindowsApps目录下并重命名为Get-Variable.exe

2.创建计划任务实现持久化

该命令创建计划任务程序COMSurrogate，该程序以隐藏的方式执行PowerShell。而执行PowerShell 会启动恶意程序Get-Variable.exe，从而实现持久化。

复现该过程，效果如下：

1.将计算器复制到该路径并重命名为Get-Variable：

2.执行PowerShell ，弹出计算器：

cmdlet

Get-Variable是一个cmdlet。cmdlet 是在 PowerShell 环境中使用的轻量级命令，可用于在PowerShell 中执行单个特定功能，比如执行cmdlet 命令 Get-TimeZone 获取当前时区：

实现原理

由上边的复现可知：使用计划任务只是作为持久化的方式，主要还是通过运行PowerShell时触发执行Get-variable来实现攻击。

执行PowerShell ，在Process monitor观察PowerShell 对Get-variable.exe的操作可知：

首先，PowerShell 遍历系统环境变量路径下是否存在：

然后遍历在用户环境变量路径下是否存在：

其中用户环境变量包括路径%APPDATA%LocalMicrosoftWindowsApps：

当发现该文件时，调用该文件并使用参数Name host ValueOnly 执行:

该命令用于在Windows上获取主机操作系统信息，如下：

PowerShell在启动时会尝试执行该命令获取控制台主机信息,根据控制台主机信息的配置去启动PowerShell，如中英文设置、UI设置。

因此，我们可以发现：该机制类似dll劫持，PowerShell按顺序在系统和用户的环境变量中搜索Get-variable并执行，所以将恶意文件重命名为Get-variable.exe并放置在PowerShell的搜索路径中，就可以在启动PowerShell时执行恶意文件。

而使用路径%APPDATA%LocalMicrosoftWindowsApps的原因是：在Win10上默认的用户环境变量中存在该路径，且将文件复制进该文件夹不需要特殊权限，具有普遍性,容易利用。

经过测试发现，仅有该cmdlet放置在WindowsApps下时可以触发执行。

从该利用我们可以看出，攻击者对PowerShell的启动过程具有深刻的理解，才可以将其和计划任务进行结合实现该持久化方式。

在合适的情境下将文件放置在其他文件夹中，也可以实现触发，具有一定的隐蔽性，同样需要我们注意。