PowerShell 配置文件

对手可能通过执行由 PowerShell 配置文件触发的恶意内容来获得持久性和提升权限。PowerShell 配置文件 (profile.ps1) 是一个在 PowerShell 启动时运行的脚本，可以用作登录脚本来自定义用户环境。 PowerShell 支持根据用户或主机程序的不同而有多个配置文件。例如，不同的 PowerShell 主机程序（如 PowerShell 控制台、PowerShell ISE 或 Visual Studio Code）可以有不同的配置文件。管理员还可以配置一个适用于本地计算机上所有用户和主机程序的配置文件。(引用: Microsoft About Profiles) 对手可能会修改这些配置文件以包含任意命令、函数、模块和/或 PowerShell 驱动器以获得持久性。每次用户打开 PowerShell 会话时，修改后的脚本将被执行，除非在启动时使用 -NoProfile 标志。(引用: ESET Turla PowerShell May 2019) 如果具有更高权限的帐户（如域管理员）加载并执行 PowerShell 配置文件中的脚本，对手还可能能够提升权限。(引用: Wits End and Shady PowerShell Profiles)