您的位置:首页 > 媒体评论

PowerShell发生多起攻击案例 目标多瞄准数字货币

发布时间:2018-07-03 14:40:30  来源:互联网     背景:

  近期,腾讯御见威胁情报中心监控到利用PowerShell执行恶意代码的攻击频繁发生。此类型攻击利用受害者系统正常应用白进程调用同名资源文件来执行恶意代码,从而绕过安全软件的拦截,使受害者难以发现。

  PowerShell结合 .NET 实施的“无文件”攻击,指攻击代码的下载和执行过程均在内存中实现,并不在系统创建攻击文件,可以有效逃避安全软件的行为拦截,致使威胁活动更加难以追踪,从而达到攻击行为便捷、有效、隐蔽的特点。借助此类攻击方式实施的窃密、挖矿、盗取用户个人财产的网络攻击行为,也给企业和个人带来严重的安全威胁。

  入侵网站植入远程控制后门 攻击者疑似Web安全从业人员

  近日发生一起利用PowerShell执行恶意远程控制代码案例。PowerShell通过带参数执行.NET代码,对关键代码部分解码解压后可知通过申请内存,创建远线程的方式执行一段Base64编码的Shellcode。Shellcode连接服务器地址下载一个网络文件,下载的网络文件是一个PE文件,在内存中展开执行。

  有趣的是,通过追踪溯源后发现疑似攻击者的一个网络博客,且通过博客内容可知该博主疑似安全行业从业人员。

  (图:疑似攻击者的网络博客)

  PowerShell下载执行木马挖取比特票 严重影响用户上网体验

  挖矿木马风行,PowerShell也成为了挖矿木马的好帮手。腾讯御见威胁情报中心捕获到利用PowerShell下载云端压缩包,最终解压出挖矿病毒文件挖取比特票的挖矿木马。木马运行后将导致受害者系统资源被大量占用,机器CPU使用率暴涨,造成系统操作卡顿,严重影响用户的上网体验。

  (图:矿机使用的挖矿钱包当前信息)

  PowerShell下载数字货币交易劫持木马 给企业带来严重安全威胁

  通过PowerShell下载读取云端图片,图片内藏恶意编码的Shellcode代码和攻击模块,恶意模块被加载后会默认安装恶意浏览器插件进一步实施挖矿,劫持用户数字货币交易行为。倘若该中毒电脑上进行数字虚拟货币交易,木马可以在交易瞬间将收款人钱包地址换成病毒设定的钱包地址,成功实现抢钱目的。

  对企业而言,服务器被攻击拉起PowerShell进程执行远程恶意代码,多数情况下是由于企业自身安全意识不足,对爆出的系统漏洞和应用程序漏洞未及时进行修复,进而导致服务器被入侵,影响企业正常运转。攻击者通常是利用爆出已久的高危安全漏洞来进行攻击,其中Weblogic反序列化漏洞、MS17-010、Struts2系列漏洞都备受攻击者青睐。

  (图:结合PowerShell常投放的Nday)

  “弱口令”也会给企业带来未知的安全隐患,降低了攻击者的攻击成本。部分攻击者还会结合社工欺骗、钓鱼的方式伪造攻击邮件,结合Office宏来执行恶意代码,进一步实施攻击。据统计,攻击者在入侵成功后,最喜欢投放的是挖矿木马,其次为勒索病毒,这些都给企业带来严重的安全威胁。

  (图:结合PowerShell常投放的威胁种类)

  腾讯安全技术专家指出,攻击者利用PowerShell结合钓鱼邮件实施的Office宏攻击会给企业带来严重的安全威胁。企业可默认禁用Office宏功能,以阻断攻击入口。此外,企业应及时修复系统安全漏洞和应用程序安全漏洞,防止被不法黑客利用执行远程代码攻击,从而阻断攻击入口。

  腾讯安全反病毒实验室专家马劲松建议企业用户全网安装腾讯御点终端安全管理系统,该系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

  (图:腾讯御点漏洞修复页面)

  除此之外,腾讯御界防APT邮件网关通过对邮件多维度信息的综合分析,可迅速识别钓鱼邮件、病毒木马附件、漏洞利用附件等威胁,有效防范邮件安全风险,保护企业免受数据和财产损失。

  (图:腾讯御界防APT邮件网关页面)






  声明:本文仅为传递更多网络信息,不代表本站观点和意见,仅供参考了解,更不能作为投资使用依据。


返回网站首页

本文评论
圆桌:站在小程序风口,创业者如何挖掘更多流量?
小程序经过一年半的高速发展,小程序生态呈现空前繁荣局面,移动互联网或将面临重新洗牌。那么站在......
日期:08-17
风雨漩涡中的互联网电视品牌 如何见彩虹?
2018年,互联网电视品牌仍旧面临“生死存亡”的巨大考验。...
日期:08-13
外媒:为了与腾讯竞争 阿里应该收购抖音
据VulcanPost北京时间7月18日报道,尽管阿里巴巴和腾讯属于不同的阵营——前者在中国电商......
日期:07-19
外媒:谷歌要返华推三项服务?联手腾讯会是天作之合
8月11日消息,根据近日的消息,谷歌可能会重返中国大陆,推出搜索引擎、新闻聚合服务和云服务。国外......
日期:08-13
中国芯片制造工艺取得进展 可望在更先进工艺上与海外企业竞争
自2014年以来中国对芯片产业高度重视,中国的芯片设计企业如雨后春笋般涌现,不过在芯片制造工艺上......
日期:08-31
日媒:百度发力无人驾驶 是对阿里和腾讯的逆袭
百度CEO李彦宏昨日展示L4级量产无人驾驶巴士“阿波龙”,意味无人驾驶又跨入了新的里程碑......
日期:07-06
关于腾讯:人云亦云者很多,真正看懂者又有几个?
最近腾讯(HK:00700)股价的连连下挫,引起各界广泛的关注。各类财经媒体,亦颇具“一致性&rdquo......
日期:08-21
苏宁荣耀超品日即将来临,“大快人心”的优惠享不停
7月5日,荣耀官微发布了712苏宁荣耀超品日的主题海报。“多!”、“快!”、&ldq......
日期:07-05
5G未至 6G先行?
当人们刚刚尝到4G LTE移动网络的甜头,便纷纷惦记起即将来临的5G好处,甚至已开始觊觎更加超前的6G(......
日期:09-27
外媒开始上拼多多打假了 发现大量进口产品假货
近日,英国《每日邮报》(Daily Mail)、澳大利亚《外交学者》(The Diplomat)、新西兰《先驱报》(NZ H......
日期:08-21
Snapchat如何玩转社交零售
当长尾市场开始爆满,一场围绕“社交”的头脑风暴就此展开,Snapchat就是其中之一,将社......
日期:09-26
外媒:华为有望成为LG Uplus 5G网络设备供应商
9月4日消息,据国外媒体报道,韩国三大电信运营商预计会在本月公布5G网络设备的供应商,华为有望成......
日期:09-05
Chrome十岁了:一款“中危”浏览器的操作系统梦
2008年9月3日,整整十年前,谷歌推出了Chrome浏览器,将自己定义为「浏览器市场的破局者」。彼时,......
日期:09-04
中国手机市场进入巨头竞争时代,“刘海屏”真的要过气了吗?
[摘要]目前,手机厂商的全面屏解决方案大多是跟进苹果,正面“刘海屏”的设计,搭载人脸......
日期:06-14
康普观点:宽带网络的演进
如今,用户对宽带服务和更高带宽的需求之高可以说是前所未有。城市和农村地区正在加速网络部署,除......
日期:08-28
新飞4.5亿起拍“卖身” 冰箱之王传奇落幕
6月20日,宁静的小城新乡,宽敞的新飞大道上汽车电动车车流如织,位于北干道上的新飞电器却已停产,厂区依旧干净,却不复以往的热...
日期:06-25
风口上的短视频 为什么没有《镇魂》《延禧攻略》这样的爆款内容?
今年6月,抖音首次公布运营数据,国内抖音的日活跃用户突破1.5亿,月活跃用户破3亿。飞速飙升的用户......
日期:08-20
小米首席科学家离职:研发不如讲故事 专利日后是雷
专利问题如果不能得到解决,未来上市后的小米要进入欧美市场,知识产权问题则成为其一个定时炸弹。...
日期:06-19
美团外卖:被打送餐员伤情稳定 三名涉案嫌疑人已被刑拘
8月17日消息,针对外卖送餐员被殴打一事,美团外卖官微发布公告称,被殴打小哥送往医院救治后伤情稳......
日期:08-17
业内:中国半导体产业重视短期创新 放弃基础研究
中兴摔的一跤让整个中国的半导体产业都感到了一丝疼痛,但更重要的是,疼痛过后愿意正视这道“......
日期:09-06