PowerStager：一款拥有独特混淆技术的恶意工具正在崛起

　　Palo Alto Networks公司警告说，自2017年4月以来，一种恶意工具已经成为人们关注的焦点之一。这主要原因是由于它采用了相当独特技术来混淆它的PowerShell脚本，这种技术是其他工具所没有的。

　　工具名为“PowerStager”，在2017年12月左右，其在实际攻击活动中的使用率有所上升。

　　PowerStager的核心是一个Python脚本，它使用C源代码生成Windows可执行文件，然后利用多层模糊处理启动PowerShell脚本，最终目标是执行shellcode有效载荷。PowerStager有很多配置选项，使其具有相当大的灵活性。

　　截至2017年12月29日，Palo Alto Networks已经在世纪攻击活动中观察到了502个独特的PowerStager样本，主要针对西欧媒体和批发商。研究人员解释说，也有大量样本被用于测试和销售时的概念验证演示。

　　Palo Alto Networks的安全专家Jeff White还发现PowerStager在构建样本时定义的某些属性可以用于追踪它们。尽管，生成的不同样本存在属性特征上的差异，它们都拥有各自独特的属性，但事实证明对追踪来说是某些属性是有用，尤其是在动态分析过程中加上独特的混淆和PowerShell方法时尤其如此。

　　“虽然这不是最先进的工具集，其也使得我们在尝试混淆和动态检测时遇到了很多麻烦。PowerStager已经涵盖了许多混淆和灵活性的基础，即使迄今为止还没有看到太多的使用。然而，它的确正在崛起，我们会在它的发展中保持关注。”White总结道。