您的位置:首页 > 媒体评论

PowerShell发生多起攻击案例 目标多瞄准数字货币

发布时间:2018-07-03 14:40:30  来源:互联网     背景:

  近期,腾讯御见威胁情报中心监控到利用PowerShell执行恶意代码的攻击频繁发生。此类型攻击利用受害者系统正常应用白进程调用同名资源文件来执行恶意代码,从而绕过安全软件的拦截,使受害者难以发现。

  PowerShell结合 .NET 实施的“无文件”攻击,指攻击代码的下载和执行过程均在内存中实现,并不在系统创建攻击文件,可以有效逃避安全软件的行为拦截,致使威胁活动更加难以追踪,从而达到攻击行为便捷、有效、隐蔽的特点。借助此类攻击方式实施的窃密、挖矿、盗取用户个人财产的网络攻击行为,也给企业和个人带来严重的安全威胁。

  入侵网站植入远程控制后门 攻击者疑似Web安全从业人员

  近日发生一起利用PowerShell执行恶意远程控制代码案例。PowerShell通过带参数执行.NET代码,对关键代码部分解码解压后可知通过申请内存,创建远线程的方式执行一段Base64编码的Shellcode。Shellcode连接服务器地址下载一个网络文件,下载的网络文件是一个PE文件,在内存中展开执行。

  有趣的是,通过追踪溯源后发现疑似攻击者的一个网络博客,且通过博客内容可知该博主疑似安全行业从业人员。

  (图:疑似攻击者的网络博客)

  PowerShell下载执行木马挖取比特票 严重影响用户上网体验

  挖矿木马风行,PowerShell也成为了挖矿木马的好帮手。腾讯御见威胁情报中心捕获到利用PowerShell下载云端压缩包,最终解压出挖矿病毒文件挖取比特票的挖矿木马。木马运行后将导致受害者系统资源被大量占用,机器CPU使用率暴涨,造成系统操作卡顿,严重影响用户的上网体验。

  (图:矿机使用的挖矿钱包当前信息)

  PowerShell下载数字货币交易劫持木马 给企业带来严重安全威胁

  通过PowerShell下载读取云端图片,图片内藏恶意编码的Shellcode代码和攻击模块,恶意模块被加载后会默认安装恶意浏览器插件进一步实施挖矿,劫持用户数字货币交易行为。倘若该中毒电脑上进行数字虚拟货币交易,木马可以在交易瞬间将收款人钱包地址换成病毒设定的钱包地址,成功实现抢钱目的。

  对企业而言,服务器被攻击拉起PowerShell进程执行远程恶意代码,多数情况下是由于企业自身安全意识不足,对爆出的系统漏洞和应用程序漏洞未及时进行修复,进而导致服务器被入侵,影响企业正常运转。攻击者通常是利用爆出已久的高危安全漏洞来进行攻击,其中Weblogic反序列化漏洞、MS17-010、Struts2系列漏洞都备受攻击者青睐。

  (图:结合PowerShell常投放的Nday)

  “弱口令”也会给企业带来未知的安全隐患,降低了攻击者的攻击成本。部分攻击者还会结合社工欺骗、钓鱼的方式伪造攻击邮件,结合Office宏来执行恶意代码,进一步实施攻击。据统计,攻击者在入侵成功后,最喜欢投放的是挖矿木马,其次为勒索病毒,这些都给企业带来严重的安全威胁。

  (图:结合PowerShell常投放的威胁种类)

  腾讯安全技术专家指出,攻击者利用PowerShell结合钓鱼邮件实施的Office宏攻击会给企业带来严重的安全威胁。企业可默认禁用Office宏功能,以阻断攻击入口。此外,企业应及时修复系统安全漏洞和应用程序安全漏洞,防止被不法黑客利用执行远程代码攻击,从而阻断攻击入口。

  腾讯安全反病毒实验室专家马劲松建议企业用户全网安装腾讯御点终端安全管理系统,该系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

  (图:腾讯御点漏洞修复页面)

  除此之外,腾讯御界防APT邮件网关通过对邮件多维度信息的综合分析,可迅速识别钓鱼邮件、病毒木马附件、漏洞利用附件等威胁,有效防范邮件安全风险,保护企业免受数据和财产损失。

  (图:腾讯御界防APT邮件网关页面)






  声明:本文仅为传递更多网络信息,不代表本站观点和意见,仅供参考了解,更不能作为投资使用依据。


返回网站首页

本文评论
Snapchat如何玩转社交零售
当长尾市场开始爆满,一场围绕“社交”的头脑风暴就此展开,Snapchat就是其中之一,将社......
日期:09-26
关于腾讯:人云亦云者很多,真正看懂者又有几个?
最近腾讯(HK:00700)股价的连连下挫,引起各界广泛的关注。各类财经媒体,亦颇具“一致性&rdquo......
日期:08-21
科技大佬也爱平民美食:马斯克吃煎饼果子,马云吃泡面
7月14日消息 昨天特斯拉CEO马斯克在上海街头吃煎饼果子的照片刷屏,网友纷纷称赞其“接地气&rd......
日期:07-14
5G还未商用化 手机市场的5G战争便已拉开帷幕
(原标题:5G战争提前开打 大多数手机厂商仍是马前卒) 尽管5G网络的商用化还未开始,智能手机市场的5G战争已然拉开了帷幕...
日期:09-10
红杉中国00后泛娱乐消费报告:勾勒千禧一代画像,处处有干货
当最“老”的80后开始步入不惑之年,最“年轻”的90后开始烦恼考研还是找工作......
日期:08-16
外媒称vivo确认将于今年第四季度推送安卓9.0
8月12日消息,近日,谷歌发布了Android Pie(安卓9.0)正式版,各大厂商也相继公开自家的产品软件升级......
日期:08-13
饿了么“送餐小哥”自称CEO:送餐体验骑手辛苦
昨天,微博网友@学画的疯子 发文称,她订外卖送水果的外卖小哥自称是饿了么的CEO。该网友还调侃道,......
日期:08-14
从工具走向生产力 AI让企业用户“迷茫”
AI在企业运营和决策过程中的重要性不言而喻。近年来,人工智能在各行各业可谓家喻户晓,云计算也为A......
日期:09-19
外媒称中国考虑联通电信合并:官方回应
据彭博社最新报道,中国政府正在评估中国联通、中国电信的合并计划,目的是加速5G发展。...
日期:09-05
关注未来|你该如何选择专业的智能家居展?
智能家居市场潜力巨大 关注度持续增加 随着新消费群体的崛起,以及物联网和人工智能技术的......
日期:08-07
外媒:中国在创新领域向美国发起挑战
在未来20年里,各国创新、适应新兴技术的程度,将推动它们的经济社会发展,并决定它们各自的国际竞争能力。 日前,美国...
日期:06-27
网络安全人才培养模式新探索 缓解行业人才供需不衡
信息时代,网络空间已经成为当今人类活动的“第五空间”,大到国家政治、经济、文化,小......
日期:10-03
小米股票认购为何遭遇滑铁卢?
文/王吉伟 本以为雄心勃勃的小米,凭借独创的“硬件+新零售+互联网服务”铁人三......
日期:06-28
消费降级不可避免,国产手机怎样留住用户
如果要给“口红效应”选个对应面,我觉得“手机效应”可能再合适不过了。...
日期:08-23
外媒:中国的阿里、京东、腾讯正面临品牌营销挑战
对于那些通过中国电子商务平台京东购买澳大利亚牛肉的消费者来说,他们现在可以在京东自己的区块链(......
日期:07-13
世界杯广告:被误读的与被曲解的
要论2018年世界杯的两大“奇观”,当属频繁爆冷的老牌强队,以及一鸣惊人的“中国广......
日期:06-23
万元苹果新iPhone只配祖传5W充电器 你怎么看?
去年苹果发布的iPhone X,被誉为史上最贵的iPhone。不过,今年全新发布的iPhone Xs Max,再一次刷新......
日期:09-14
苏宁物流的生存法则:竞争中创新
近日,苏宁易购818物流发布会在南京召开,会上苏宁物流推出了多个物流产品以及轰动业界的覆盖整个物......
日期:08-15
世界杯直播大战背后 技术实力的较量
世界杯直播大战背后 技术实力的较量 李正豪 6月14日深夜,俄罗斯VS沙特阿拉伯的......
日期:06-23
8年后欲重返中国?Google早已被中国市场甩出赛道
近日,据国外媒体 Intercept 报道,Google计划在中国推出符合中国法律规定的搜索引擎,如果此消息属......
日期:08-02