PowerShell發(fā)生多起攻擊案例 目標多瞄準數(shù)字貨幣

近期，騰訊御見威脅情報中心監(jiān)控到利用PowerShell執(zhí)行惡意代碼的攻擊頻繁發(fā)生。此類型攻擊利用受害者系統(tǒng)正常應(yīng)用白進程調(diào)用同名資源文件來執(zhí)行惡意代碼，從而繞過安全軟件的攔截，使受害者難以發(fā)現(xiàn)。

PowerShell結(jié)合 .NET 實施的“無文件”攻擊，指攻擊代碼的下載和執(zhí)行過程均在內(nèi)存中實現(xiàn)，并不在系統(tǒng)創(chuàng)建攻擊文件，可以有效逃避安全軟件的行為攔截，致使威脅活動更加難以追蹤，從而達到攻擊行為便捷、有效、隱蔽的特點。借助此類攻擊方式實施的竊密、挖礦、盜取用戶個人財產(chǎn)的網(wǎng)絡(luò)攻擊行為，也給企業(yè)和個人帶來嚴重的安全威脅。

入侵網(wǎng)站植入遠程控制后門 攻擊者疑似Web安全從業(yè)人員

近日發(fā)生一起利用PowerShell執(zhí)行惡意遠程控制代碼案例。PowerShell通過帶參數(shù)執(zhí)行.NET代碼，對關(guān)鍵代碼部分解碼解壓后可知通過申請內(nèi)存，創(chuàng)建遠線程的方式執(zhí)行一段Base64編碼的Shellcode。Shellcode連接服務(wù)器地址下載一個網(wǎng)絡(luò)文件，下載的網(wǎng)絡(luò)文件是一個PE文件，在內(nèi)存中展開執(zhí)行。

有趣的是，通過追蹤溯源后發(fā)現(xiàn)疑似攻擊者的一個網(wǎng)絡(luò)博客，且通過博客內(nèi)容可知該博主疑似安全行業(yè)從業(yè)人員。

(圖：疑似攻擊者的網(wǎng)絡(luò)博客)

PowerShell下載執(zhí)行木馬挖取比特票 嚴重影響用戶上網(wǎng)體驗

挖礦木馬風行，PowerShell也成為了挖礦木馬的好幫手。騰訊御見威脅情報中心捕獲到利用PowerShell下載云端壓縮包，最終解壓出挖礦病毒文件挖取比特票的挖礦木馬。木馬運行后將導(dǎo)致受害者系統(tǒng)資源被大量占用，機器CPU使用率暴漲，造成系統(tǒng)操作卡頓，嚴重影響用戶的上網(wǎng)體驗。

(圖：礦機使用的挖礦錢包當前信息)

PowerShell下載數(shù)字貨幣交易劫持木馬 給企業(yè)帶來嚴重安全威脅

通過PowerShell下載讀取云端圖片，圖片內(nèi)藏惡意編碼的Shellcode代碼和攻擊模塊，惡意模塊被加載后會默認安裝惡意瀏覽器插件進一步實施挖礦，劫持用戶數(shù)字貨幣交易行為。倘若該中毒電腦上進行數(shù)字虛擬貨幣交易，木馬可以在交易瞬間將收款人錢包地址換成病毒設(shè)定的錢包地址，成功實現(xiàn)搶錢目的。

對企業(yè)而言，服務(wù)器被攻擊拉起PowerShell進程執(zhí)行遠程惡意代碼，多數(shù)情況下是由于企業(yè)自身安全意識不足，對爆出的系統(tǒng)漏洞和應(yīng)用程序漏洞未及時進行修復(fù)，進而導(dǎo)致服務(wù)器被入侵，影響企業(yè)正常運轉(zhuǎn)。攻擊者通常是利用爆出已久的高危安全漏洞來進行攻擊，其中Weblogic反序列化漏洞、MS17-010、Struts2系列漏洞都備受攻擊者青睞。

(圖：結(jié)合PowerShell常投放的Nday)

“弱口令”也會給企業(yè)帶來未知的安全隱患，降低了攻擊者的攻擊成本。部分攻擊者還會結(jié)合社工欺騙、釣魚的方式偽造攻擊郵件，結(jié)合Office宏來執(zhí)行惡意代碼，進一步實施攻擊。據(jù)統(tǒng)計，攻擊者在入侵成功后，最喜歡投放的是挖礦木馬，其次為勒索病毒，這些都給企業(yè)帶來嚴重的安全威脅。

(圖：結(jié)合PowerShell常投放的威脅種類)

騰訊安全技術(shù)專家指出，攻擊者利用PowerShell結(jié)合釣魚郵件實施的Office宏攻擊會給企業(yè)帶來嚴重的安全威脅。企業(yè)可默認禁用Office宏功能，以阻斷攻擊入口。此外，企業(yè)應(yīng)及時修復(fù)系統(tǒng)安全漏洞和應(yīng)用程序安全漏洞，防止被不法黑客利用執(zhí)行遠程代碼攻擊，從而阻斷攻擊入口。

騰訊安全反病毒實驗室專家馬勁松建議企業(yè)用戶全網(wǎng)安裝騰訊御點終端安全管理系統(tǒng)，該系統(tǒng)具備終端殺毒統(tǒng)一管控、修復(fù)漏洞統(tǒng)一管控，以及策略管控等全方位的安全管理功能，可幫助企業(yè)管理者全面了解、管理企業(yè)內(nèi)網(wǎng)安全狀況、保護企業(yè)安全。

(圖：騰訊御點漏洞修復(fù)頁面)

除此之外，騰訊御界防APT郵件網(wǎng)關(guān)通過對郵件多維度信息的綜合分析，可迅速識別釣魚郵件、病毒木馬附件、漏洞利用附件等威脅，有效防范郵件安全風險，保護企業(yè)免受數(shù)據(jù)和財產(chǎn)損失。

(圖：騰訊御界防APT郵件網(wǎng)關(guān)頁面)

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。