謹防Windows PowerShell憑證請求提示

最近有人在Github上發布了一個新的PowerShell腳本，這段腳本會提示用戶，讓他們輸入登錄憑證，等確定用戶輸入的憑證正確後，該腳本就會將登錄憑證發送到遠程伺服器，這就允許攻擊者通過受害者來傳播腳本並獲取域登錄憑證。

Github上的腳本說明

此Github腳本使用了Get-Credential PowerShell cmdlet來顯示登錄提示，要求用戶輸入其憑證。當用戶輸入他們的憑證時，腳本將嘗試利用受害者的域進行身份驗證，如果驗證成功，則會將憑證發送到遠程伺服器。如果輸入的憑證不正確，腳本將不斷提示用戶輸入憑證。

此時，終止輸入提示的唯一方法是打開任務管理器，查找名為「Windows PowerShell」的進程，然後終止它。

任務管理器

值得慶幸的是，此特定腳本顯示的登錄提示可以很容易地被發現，因為警報標題為「Windows PowerShell憑證請求」，並且將包含一個帶有一組密鑰的藍色區域，如下所示。

默認獲取憑證提示

問題是，這個警報的標題可以通過使用稍微不同的PowerShell cmdlet來更改，所以出於安全考慮，我將不在這裡分享。通過使用不同的命令，攻擊者可以進一步自定義登錄提示，使其更有迷惑性。

如下圖所示，就是我創建的一個偽裝成Windows Defender的提示，並要求用戶登錄才能對計算機進行清理。

自定義的憑證提示

儘管有安全經驗的計算機用戶仍然可能會發現此提示非常可疑，但很多人可能認為這是合法的進程，並按提示輸入登錄名和密碼。

值得慶幸的是，儘管標題可能會被更改，但提示本身仍包含藍色區域及其中的一組輸入內容。因此，如果你看到有提示詢問你的用戶名和密碼，並且提醒看起來與上述界面類似，請謹慎輸入你的憑證。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！