您的位置:首页 > 媒体评论

PowerShell发生多起攻击案例 目标多瞄准数字货币

发布时间:2018-07-03 14:40:30  来源:互联网     背景:

  近期,腾讯御见威胁情报中心监控到利用PowerShell执行恶意代码的攻击频繁发生。此类型攻击利用受害者系统正常应用白进程调用同名资源文件来执行恶意代码,从而绕过安全软件的拦截,使受害者难以发现。

  PowerShell结合 .NET 实施的“无文件”攻击,指攻击代码的下载和执行过程均在内存中实现,并不在系统创建攻击文件,可以有效逃避安全软件的行为拦截,致使威胁活动更加难以追踪,从而达到攻击行为便捷、有效、隐蔽的特点。借助此类攻击方式实施的窃密、挖矿、盗取用户个人财产的网络攻击行为,也给企业和个人带来严重的安全威胁。

  入侵网站植入远程控制后门 攻击者疑似Web安全从业人员

  近日发生一起利用PowerShell执行恶意远程控制代码案例。PowerShell通过带参数执行.NET代码,对关键代码部分解码解压后可知通过申请内存,创建远线程的方式执行一段Base64编码的Shellcode。Shellcode连接服务器地址下载一个网络文件,下载的网络文件是一个PE文件,在内存中展开执行。

  有趣的是,通过追踪溯源后发现疑似攻击者的一个网络博客,且通过博客内容可知该博主疑似安全行业从业人员。

  (图:疑似攻击者的网络博客)

  PowerShell下载执行木马挖取比特票 严重影响用户上网体验

  挖矿木马风行,PowerShell也成为了挖矿木马的好帮手。腾讯御见威胁情报中心捕获到利用PowerShell下载云端压缩包,最终解压出挖矿病毒文件挖取比特票的挖矿木马。木马运行后将导致受害者系统资源被大量占用,机器CPU使用率暴涨,造成系统操作卡顿,严重影响用户的上网体验。

  (图:矿机使用的挖矿钱包当前信息)

  PowerShell下载数字货币交易劫持木马 给企业带来严重安全威胁

  通过PowerShell下载读取云端图片,图片内藏恶意编码的Shellcode代码和攻击模块,恶意模块被加载后会默认安装恶意浏览器插件进一步实施挖矿,劫持用户数字货币交易行为。倘若该中毒电脑上进行数字虚拟货币交易,木马可以在交易瞬间将收款人钱包地址换成病毒设定的钱包地址,成功实现抢钱目的。

  对企业而言,服务器被攻击拉起PowerShell进程执行远程恶意代码,多数情况下是由于企业自身安全意识不足,对爆出的系统漏洞和应用程序漏洞未及时进行修复,进而导致服务器被入侵,影响企业正常运转。攻击者通常是利用爆出已久的高危安全漏洞来进行攻击,其中Weblogic反序列化漏洞、MS17-010、Struts2系列漏洞都备受攻击者青睐。

  (图:结合PowerShell常投放的Nday)

  “弱口令”也会给企业带来未知的安全隐患,降低了攻击者的攻击成本。部分攻击者还会结合社工欺骗、钓鱼的方式伪造攻击邮件,结合Office宏来执行恶意代码,进一步实施攻击。据统计,攻击者在入侵成功后,最喜欢投放的是挖矿木马,其次为勒索病毒,这些都给企业带来严重的安全威胁。

  (图:结合PowerShell常投放的威胁种类)

  腾讯安全技术专家指出,攻击者利用PowerShell结合钓鱼邮件实施的Office宏攻击会给企业带来严重的安全威胁。企业可默认禁用Office宏功能,以阻断攻击入口。此外,企业应及时修复系统安全漏洞和应用程序安全漏洞,防止被不法黑客利用执行远程代码攻击,从而阻断攻击入口。

  腾讯安全反病毒实验室专家马劲松建议企业用户全网安装腾讯御点终端安全管理系统,该系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

  (图:腾讯御点漏洞修复页面)

  除此之外,腾讯御界防APT邮件网关通过对邮件多维度信息的综合分析,可迅速识别钓鱼邮件、病毒木马附件、漏洞利用附件等威胁,有效防范邮件安全风险,保护企业免受数据和财产损失。

  (图:腾讯御界防APT邮件网关页面)






  声明:本文仅为传递更多网络信息,不代表本站观点和意见,仅供参考了解,更不能作为投资使用依据。


返回网站首页

本文评论
苹果股价暴跌与禁售令有关?开什么玩笑,苹果还没执行禁售令呢
近期苹果股价一路暴跌,三个月内跌掉的市值相当于一个脸书、两个半京东,引得大家纷纷猜测这背后的......
日期:01-05
外媒:金山办公在英国推出WPS Office 2020 特色功能助力海外用户
据国外媒体报道,伦敦时间2019年9月10日上午9时,金山办公宣布在英国推出WPS Office 2020。据悉,这......
日期:09-29
2019年的5G手机:贵、费电、用处不大
2019年,你想赶赶时髦,买一部5G手机吗?但从目前的分析来看,它可能会价格高、耗电快、发热大、信号......
日期:01-23
SA组网无碍NSA手机使用
一直以来,我国5G部署到底采用独立组网(SA)架构,还是非独立组网(NSA)架构,一直是大家关注的热点。......
日期:06-27
外媒:迅雷与新大陆战略合作 探索网络安全和电子支付领域
据海外区块链媒体CoinSpeaker报道,区块链基础设施巨头迅雷与新大陆科技集团近日达成战略合作,共同......
日期:09-26
图书企业开始转型升级 图书电商路在何方?
(原标题:多元化阅读业态兴起 图书电商渐渐失去安全感?) 当当网被海航收购后,业界一片哗然。有人惊异于海航的举动,也有...
日期:09-19
在线零售的未来:巨头更巨,小而美终将衰败
小而美,从马云的两个百万计划开始就一直被大家所关注。很多企业也是会贴上相应的小而美标签,以求......
日期:09-13
特斯拉在华电动车市场不占优势
之前,媒体集中报道特斯拉要在中国建厂的消息,但是它们却忽视了大量的细节。比如说,谁将为建厂买......
日期:07-16
Snapchat如何玩转社交零售
当长尾市场开始爆满,一场围绕“社交”的头脑风暴就此展开,Snapchat就是其中之一,将社......
日期:09-26
5G未至 6G先行?
当人们刚刚尝到4G LTE移动网络的甜头,便纷纷惦记起即将来临的5G好处,甚至已开始觊觎更加超前的6G(......
日期:09-27
从台前到幕后 浅谈滑盖全面屏专利之争
如果说17年的手机还是被各种异形全面屏这种“伪 全面屏”占领,那么“真 全面屏&rdq......
日期:11-04
外媒:苹果供应商鸿海精密计划明年削减200亿元支出
11月22日消息,据国外媒体报道,彭博社援引公司内部备忘录称,苹果最大的iPhone组装企业鸿海精密(Fo......
日期:11-22
风潮渐起 智能音箱加屏幕是进步还是倒退?
10月10日,在美国曼哈顿举办的“MadeBy Google”硬件专场发布会上,谷歌公司发布了Pixel......
日期:10-15
媒体:金立品牌“复活”系二股东卢光辉拿到品牌授权
9月3日消息 昨日,时隔九个月之后,金立手机官方微信再次发文宣布推出金立新机M11与M11s,并详细阐......
日期:09-03
英媒:欧盟周三将向谷歌开出罚单,远超24亿欧元
7月18日消息,据英国媒体报道,谷歌今天将面临有史以来最高金额的监管罚款。欧盟委员会(European Co......
日期:07-18
Canalys:华为Q3内地智能手机出货量飙升66%
10月30日消息 科技市场研究公司Canalys周三发布的数据显示,中国(大陆)智能手机市场在2019年第三季......
日期:10-30
梯形刘海亮了!魅族X8谍照曝光:一面苹果X,一面小米8?
之前黄章预告,魅族或将于7月底或8月初召开魅族16发布会,而这一日期很有可能是8月8日,现在就等魅......
日期:07-20
面对版权市场乱象,“终结版权黑洞“的数据2.0究竟是什么?
近日,一起沸沸扬扬的“黑洞版权”事件让数家上市公司,尤其是始作俑者的“视觉中国......
日期:04-16
韩媒:苹果iPhone 11S系列拥有三款OLED机型,由三星和LG供应屏幕
11月27日消息 据韩国电子时报援引业内人士消息,苹果2020年秋天将推出采用5.4英寸、6.1英寸和6.7英......
日期:11-27
智能机的十年进化路
(原标题:从电话到智能机 这十年发生了什么?) 2007 年,当乔布斯在舞台上发布第一代 iPhon......
日期:11-07