微软：Windows 10现在支持检测PowerShell攻击

使用PowerShell可以避免直接引入恶意二进制文件执行任务，而很多基于签名的检测手段往往需要依赖后者进行检测。并且由于Payload被存储在脚本中更容易维护和修改，powershell越来越受黑客们欢迎。

而近期微软表示，Windows 10现在支持检测可疑的PowerShell活动、代码注入和恶意文档，包括进程连接某web服务器并随后投递及启动应用。该特性融入到了Windows Defender ATP中，随同Windows 10创新者更新一同发布（内置在Windows 10 Enterprise企业版核心中）。

这款安全软件也将收到秋季创新者更新的一系列改进。微软表示，某个进程的行为将不仅根据其自己的动作来定义，也根据子进程和其它相关进程的动作定义。所以Windows Defender ATP融合了进程行为树，分析进程动作和行为，相关进程通过进程创建或内存注入的方式关联。

另外机器学习还能够帮助检测各种高级攻击方式，对于检测PowerShell脚本、代码注入和执行恶意代码的多种文档都是有效的。比如有些PowerShell攻击不采用恶意二进制文件，payload存储在脚本中，那么利用机器学习就能检测到可疑的PowerShell行为，包括那些无文件攻击。微软说，今年秋季的创新者更新会将Windows Defender ATP与Windows威胁防护其余组成部分作更紧密的结合，令设备与网络不仅可检测响应威胁，而且能够提供主动防护。