近期,騰訊御見威脅情報(bào)中心監(jiān)控到利用PowerShell執(zhí)行惡意代碼的攻擊頻繁發(fā)生。此類型攻擊利用受害者系統(tǒng)正常應(yīng)用白進(jìn)程調(diào)用同名資源文件來執(zhí)行惡意代碼,從而繞過安全軟件的攔截,使受害者難以發(fā)現(xiàn)。
PowerShell結(jié)合 .NET 實(shí)施的“無文件”攻擊,指攻擊代碼的下載和執(zhí)行過程均在內(nèi)存中實(shí)現(xiàn),并不在系統(tǒng)創(chuàng)建攻擊文件,可以有效逃避安全軟件的行為攔截,致使威脅活動(dòng)更加難以追蹤,從而達(dá)到攻擊行為便捷、有效、隱蔽的特點(diǎn)。借助此類攻擊方式實(shí)施的竊密、挖礦、盜取用戶個(gè)人財(cái)產(chǎn)的網(wǎng)絡(luò)攻擊行為,也給企業(yè)和個(gè)人帶來嚴(yán)重的安全威脅。
入侵網(wǎng)站植入遠(yuǎn)程控制后門 攻擊者疑似Web安全從業(yè)人員
近日發(fā)生一起利用PowerShell執(zhí)行惡意遠(yuǎn)程控制代碼案例。PowerShell通過帶參數(shù)執(zhí)行.NET代碼,對(duì)關(guān)鍵代碼部分解碼解壓后可知通過申請(qǐng)內(nèi)存,創(chuàng)建遠(yuǎn)線程的方式執(zhí)行一段Base64編碼的Shellcode。Shellcode連接服務(wù)器地址下載一個(gè)網(wǎng)絡(luò)文件,下載的網(wǎng)絡(luò)文件是一個(gè)PE文件,在內(nèi)存中展開執(zhí)行。
有趣的是,通過追蹤溯源后發(fā)現(xiàn)疑似攻擊者的一個(gè)網(wǎng)絡(luò)博客,且通過博客內(nèi)容可知該博主疑似安全行業(yè)從業(yè)人員。
(圖:疑似攻擊者的網(wǎng)絡(luò)博客)
PowerShell下載執(zhí)行木馬挖取比特票 嚴(yán)重影響用戶上網(wǎng)體驗(yàn)
挖礦木馬風(fēng)行,PowerShell也成為了挖礦木馬的好幫手。騰訊御見威脅情報(bào)中心捕獲到利用PowerShell下載云端壓縮包,最終解壓出挖礦病毒文件挖取比特票的挖礦木馬。木馬運(yùn)行后將導(dǎo)致受害者系統(tǒng)資源被大量占用,機(jī)器CPU使用率暴漲,造成系統(tǒng)操作卡頓,嚴(yán)重影響用戶的上網(wǎng)體驗(yàn)。
(圖:礦機(jī)使用的挖礦錢包當(dāng)前信息)
PowerShell下載數(shù)字貨幣交易劫持木馬 給企業(yè)帶來嚴(yán)重安全威脅
通過PowerShell下載讀取云端圖片,圖片內(nèi)藏惡意編碼的Shellcode代碼和攻擊模塊,惡意模塊被加載后會(huì)默認(rèn)安裝惡意瀏覽器插件進(jìn)一步實(shí)施挖礦,劫持用戶數(shù)字貨幣交易行為。倘若該中毒電腦上進(jìn)行數(shù)字虛擬貨幣交易,木馬可以在交易瞬間將收款人錢包地址換成病毒設(shè)定的錢包地址,成功實(shí)現(xiàn)搶錢目的。
對(duì)企業(yè)而言,服務(wù)器被攻擊拉起PowerShell進(jìn)程執(zhí)行遠(yuǎn)程惡意代碼,多數(shù)情況下是由于企業(yè)自身安全意識(shí)不足,對(duì)爆出的系統(tǒng)漏洞和應(yīng)用程序漏洞未及時(shí)進(jìn)行修復(fù),進(jìn)而導(dǎo)致服務(wù)器被入侵,影響企業(yè)正常運(yùn)轉(zhuǎn)。攻擊者通常是利用爆出已久的高危安全漏洞來進(jìn)行攻擊,其中Weblogic反序列化漏洞、MS17-010、Struts2系列漏洞都備受攻擊者青睞。
(圖:結(jié)合PowerShell常投放的Nday)
“弱口令”也會(huì)給企業(yè)帶來未知的安全隱患,降低了攻擊者的攻擊成本。部分攻擊者還會(huì)結(jié)合社工欺騙、釣魚的方式偽造攻擊郵件,結(jié)合Office宏來執(zhí)行惡意代碼,進(jìn)一步實(shí)施攻擊。據(jù)統(tǒng)計(jì),攻擊者在入侵成功后,最喜歡投放的是挖礦木馬,其次為勒索病毒,這些都給企業(yè)帶來嚴(yán)重的安全威脅。
(圖:結(jié)合PowerShell常投放的威脅種類)
騰訊安全技術(shù)專家指出,攻擊者利用PowerShell結(jié)合釣魚郵件實(shí)施的Office宏攻擊會(huì)給企業(yè)帶來嚴(yán)重的安全威脅。企業(yè)可默認(rèn)禁用Office宏功能,以阻斷攻擊入口。此外,企業(yè)應(yīng)及時(shí)修復(fù)系統(tǒng)安全漏洞和應(yīng)用程序安全漏洞,防止被不法黑客利用執(zhí)行遠(yuǎn)程代碼攻擊,從而阻斷攻擊入口。
騰訊安全反病毒實(shí)驗(yàn)室專家馬勁松建議企業(yè)用戶全網(wǎng)安裝騰訊御點(diǎn)終端安全管理系統(tǒng),該系統(tǒng)具備終端殺毒統(tǒng)一管控、修復(fù)漏洞統(tǒng)一管控,以及策略管控等全方位的安全管理功能,可幫助企業(yè)管理者全面了解、管理企業(yè)內(nèi)網(wǎng)安全狀況、保護(hù)企業(yè)安全。
(圖:騰訊御點(diǎn)漏洞修復(fù)頁面)
除此之外,騰訊御界防APT郵件網(wǎng)關(guān)通過對(duì)郵件多維度信息的綜合分析,可迅速識(shí)別釣魚郵件、病毒木馬附件、漏洞利用附件等威脅,有效防范郵件安全風(fēng)險(xiǎn),保護(hù)企業(yè)免受數(shù)據(jù)和財(cái)產(chǎn)損失。
(圖:騰訊御界防APT郵件網(wǎng)關(guān)頁面)
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 為什么年輕人不愛換手機(jī)了
- 柔宇科技未履行金額近億元被曝已6個(gè)月發(fā)不出工資
- 柔宇科技被曝已6個(gè)月發(fā)不出工資 公司回應(yīng)欠薪有補(bǔ)償方案
- 第六座“綠動(dòng)未來”環(huán)保公益圖書館落地貴州山區(qū)小學(xué)
- 窺見“新紀(jì)元”,2021元宇宙產(chǎn)業(yè)發(fā)展高峰論壇“廣州啟幕”
- 以人為本,景悅科技解讀智慧城市發(fā)展新理念
- 紐迪瑞科技/NDT賦能黑鯊4 Pro游戲手機(jī)打造全新一代屏幕壓感
- 清潔家電新老玩家市場(chǎng)定位清晰,攜手共進(jìn),核心技術(shù)決定未來
- 新思科技與芯耀輝在IP產(chǎn)品領(lǐng)域達(dá)成戰(zhàn)略合作伙伴關(guān)系
- 芯耀輝加速全球化部署,任命原Intel高管出任全球總裁
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。