您的位置:首页>>媒体评论

PowerShell发生多起攻击案例 目标多瞄准数字货币

发布时间:2018-07-03 14:40:30  来源:ITBEAR    采编:陈芳  背景:

  近期,腾讯御见威胁情报中心监控到利用PowerShell执行恶意代码的攻击频繁发生。此类型攻击利用受害者系统正常应用白进程调用同名资源文件来执行恶意代码,从而绕过安全软件的拦截,使受害者难以发现。

  PowerShell结合 .NET 实施的“无文件”攻击,指攻击代码的下载和执行过程均在内存中实现,并不在系统创建攻击文件,可以有效逃避安全软件的行为拦截,致使威胁活动更加难以追踪,从而达到攻击行为便捷、有效、隐蔽的特点。借助此类攻击方式实施的窃密、挖矿、盗取用户个人财产的网络攻击行为,也给企业和个人带来严重的安全威胁。

  入侵网站植入远程控制后门 攻击者疑似Web安全从业人员

  近日发生一起利用PowerShell执行恶意远程控制代码案例。PowerShell通过带参数执行.NET代码,对关键代码部分解码解压后可知通过申请内存,创建远线程的方式执行一段Base64编码的Shellcode。Shellcode连接服务器地址下载一个网络文件,下载的网络文件是一个PE文件,在内存中展开执行。

  有趣的是,通过追踪溯源后发现疑似攻击者的一个网络博客,且通过博客内容可知该博主疑似安全行业从业人员。

  (图:疑似攻击者的网络博客)

  PowerShell下载执行木马挖取比特票 严重影响用户上网体验

  挖矿木马风行,PowerShell也成为了挖矿木马的好帮手。腾讯御见威胁情报中心捕获到利用PowerShell下载云端压缩包,最终解压出挖矿病毒文件挖取比特票的挖矿木马。木马运行后将导致受害者系统资源被大量占用,机器CPU使用率暴涨,造成系统操作卡顿,严重影响用户的上网体验。

  (图:矿机使用的挖矿钱包当前信息)

  PowerShell下载数字货币交易劫持木马 给企业带来严重安全威胁

  通过PowerShell下载读取云端图片,图片内藏恶意编码的Shellcode代码和攻击模块,恶意模块被加载后会默认安装恶意浏览器插件进一步实施挖矿,劫持用户数字货币交易行为。倘若该中毒电脑上进行数字虚拟货币交易,木马可以在交易瞬间将收款人钱包地址换成病毒设定的钱包地址,成功实现抢钱目的。

  对企业而言,服务器被攻击拉起PowerShell进程执行远程恶意代码,多数情况下是由于企业自身安全意识不足,对爆出的系统漏洞和应用程序漏洞未及时进行修复,进而导致服务器被入侵,影响企业正常运转。攻击者通常是利用爆出已久的高危安全漏洞来进行攻击,其中Weblogic反序列化漏洞、MS17-010、Struts2系列漏洞都备受攻击者青睐。

  (图:结合PowerShell常投放的Nday)

  “弱口令”也会给企业带来未知的安全隐患,降低了攻击者的攻击成本。部分攻击者还会结合社工欺骗、钓鱼的方式伪造攻击邮件,结合Office宏来执行恶意代码,进一步实施攻击。据统计,攻击者在入侵成功后,最喜欢投放的是挖矿木马,其次为勒索病毒,这些都给企业带来严重的安全威胁。

  (图:结合PowerShell常投放的威胁种类)

  腾讯安全技术专家指出,攻击者利用PowerShell结合钓鱼邮件实施的Office宏攻击会给企业带来严重的安全威胁。企业可默认禁用Office宏功能,以阻断攻击入口。此外,企业应及时修复系统安全漏洞和应用程序安全漏洞,防止被不法黑客利用执行远程代码攻击,从而阻断攻击入口。

  腾讯安全反病毒实验室专家马劲松建议企业用户全网安装腾讯御点终端安全管理系统,该系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

  (图:腾讯御点漏洞修复页面)

  除此之外,腾讯御界防APT邮件网关通过对邮件多维度信息的综合分析,可迅速识别钓鱼邮件、病毒木马附件、漏洞利用附件等威胁,有效防范邮件安全风险,保护企业免受数据和财产损失。

  (图:腾讯御界防APT邮件网关页面)




关注ITBear科技资讯公众号(itbear365 ),每天推送你感兴趣的科技内容。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页 本文来源:ITBEAR

美图牵手小米之后,手机业务将轻资产化运作
2018年11月19日,美图公司与小米集团宣布达成战略合作伙伴关系,联合推出更加强大的美图手机及智能...
日期:11-20
智能手机市场增长停滞,下半场拼什么?
经历了十多个年头的快速增长后,如今智能手机市场的增速发生了变化,先是2017年的增长放缓,到了201...
日期:11-15
5G或不会很快到来
(原标题:美国运营商:5G手机可能不会很快亮相)
  最近有报告指出,第一款 5G iPhone 可能会...
日期:11-15
外媒:被库克批评后 扎克伯格要求Facebook高管都用安卓手机
11月15日消息,据国外媒体报道,Facebook首席执行官扎克伯格(Mark Zuckerberg)已下令其高管团队只能...
日期:11-15
中国半导体崛起的野心与坎坷
近期半导体行业有两个大新闻。
  一个是美国制裁了中国三大存储器项目之一的福建晋华,一个...
日期:11-14
折叠屏手机太新是噱头?这件事比全面屏做的时间还要长
把大屏幕像书本一样折叠起来揣进裤兜,这件事已经不再只存在于科幻作品中。
日期:11-14
谈阿里云与天猫双11这十年
2009年,发生了两件看似不起眼的事。
  初春刚过,阿里云在北京一栋没有暖气的写字楼写下了...
日期:11-13
今年苹果新品迄今最贵  未来将成“可买得到的奢侈品”
在9月和10月两场最主要的发布会之后,今年苹果的新产品发布基本上已经告一段落。我们看到了2018年全...
日期:11-13
回顾手机发展史发现  电池是拖后腿存在
手机功能是越来越多了,人们也对手机的需求越来越大,手机续航一直以来都是大家关注的问题,毕竟谁...
日期:11-12
智能机的十年进化路
(原标题:从电话到智能机 这十年发生了什么?)
  2007 年,当乔布斯在舞台上发布第一代 iPhon...
日期:11-07
外媒:苹果的 MacBook 产品线有点乱
外媒 engadget 报道称,苹果目前的 MacBook 产品线有些混乱,用户在购买时可能会无从下手。
日期:11-05
智能手机电池之衰
市面上多数手机厂商都表示自家手机正常使用一天无压力,一天一充即可。但结果真如他们所说吗?
日期:11-05
从台前到幕后 浅谈滑盖全面屏专利之争
如果说17年的手机还是被各种异形全面屏这种“伪 全面屏”占领,那么“真 全面屏&rdq...
日期:11-04
智能手机或许非诺基亚最佳战场,功能手机才是出路?
情怀是对过去最好的肯定。
  情怀是一种高尚的心境、情趣和胸怀,随着时代的发展,情怀的定...
日期:11-04
魅族 Note 8 上手谈:仍属良品  但千元机的时代已逝
今年 5 月魅族内部经历了又一次架构调整,魅族、魅蓝两个品牌合并,于是这部原本应该取名魅蓝的机子...
日期:11-02