PowerShell發生多起攻擊案例 目標多瞄準數字貨幣

來自專欄騰訊安全聯合實驗室4 人贊了文章

近期，騰訊御見威脅情報中心監控到利用PowerShell執行惡意代碼的攻擊頻繁發生。此類型攻擊利用受害者系統受信任程序的特點，達到系統應用白進程執行惡意代碼，從而使受害者難以發現。

PowerShell結合 .NET 實施的「無文件」攻擊，指攻擊代碼的下載和執行過程均在內存實現，並不在系統創建攻擊文件，可以有效逃避安全軟體的行為攔截，致使威脅活動更加難以追蹤，從而達到攻擊行為便捷、有效、隱蔽的特點。藉助此類攻擊方式實施的竊密、挖礦、盜取用戶個人財產的網路攻擊行為，也給企業和個人帶來嚴重的安全威脅。

webhack入侵植入遠控後門 攻擊者疑似Web安全從業人員

近日發生一起利用PowerShell執行惡意遠控代碼案例。PowerShell通過帶參數執行.NET代碼，對關鍵代碼部分解碼解壓後可知通過申請內存，創建遠線程的方式執行一段Base64編碼的Shellcode。Shellcode連接伺服器地址拉取一個網路文件，拉取的網路文件是一個PE文件在內存中展開執行。

有趣的是，通過追蹤溯源後發現疑似攻擊者的一個網路博客，且通過博客內容可知該博主疑似安全行業從業人員。

PowerShell下載執行木馬挖取比特票 嚴重影響用戶上網體驗

挖礦木馬風行，PowerShell也成為了挖礦木馬的好幫手。騰訊御見威脅情報中心捕獲到利用PowerShell拉取雲端壓縮包，最終解壓出挖礦病毒文件挖取比特票的挖礦木馬。木馬運行後將導致受害者系統資源被大量佔用，機器CPU使用率暴漲，造成系統操作卡頓，嚴重影響用戶的上網體驗。

PowerShell拉取數字貨幣交易劫持木馬 給企業帶來嚴重安全威脅

通過PowerShell拉取讀取雲端圖片，圖片內藏惡意編碼的Shellcode代碼和攻擊模塊，惡意模塊被載入後會默認安裝惡意瀏覽器插件進一步實施挖礦，劫持用戶數字貨幣交易行為。

對企業而言，伺服器被攻擊拉起PowerShell進程執行遠程惡意代碼，多數情況下是由於企業自身安全意識不足，對爆出的系統漏洞和應用程序漏洞未及時進行修復，進而導致伺服器被入侵，影響企業正常運轉。攻擊者通常是利用爆出已久的高危安全漏洞來進行攻擊，其中Weblogic反序列化漏洞、MS17-010、Struts2系列漏洞都備受攻擊者青睞。

「弱口令」也會給企業帶來未知的安全隱患，降低了攻擊者的攻擊成本。部分攻擊者還會結合社工、釣魚的方式利用惡意郵件，結合Office宏來執行惡意代碼，進一步實施攻擊。據統計，攻擊者在入侵成功後，最喜歡投放的是挖礦木馬，其次為勒索病毒，這些都給企業帶來嚴重的安全威脅。

騰訊安全技術專家指出，攻擊者利用PowerShell結合釣魚郵件實施的Office宏攻擊會給企業帶來嚴重的安全威脅。企業可默認禁用Office宏功能，以阻斷攻擊入口。此外，企業應及時修復系統安全漏洞和應用程序安全漏洞，防止被不法黑客利用執行遠程代碼攻擊，從而阻斷攻擊入口。

推薦閱讀：