您的位置:首页 > 媒体评论

PowerShell发生多起攻击案例 目标多瞄准数字货币

发布时间:2018-07-03 14:40:30  来源:互联网     背景:

  近期,腾讯御见威胁情报中心监控到利用PowerShell执行恶意代码的攻击频繁发生。此类型攻击利用受害者系统正常应用白进程调用同名资源文件来执行恶意代码,从而绕过安全软件的拦截,使受害者难以发现。

  PowerShell结合 .NET 实施的“无文件”攻击,指攻击代码的下载和执行过程均在内存中实现,并不在系统创建攻击文件,可以有效逃避安全软件的行为拦截,致使威胁活动更加难以追踪,从而达到攻击行为便捷、有效、隐蔽的特点。借助此类攻击方式实施的窃密、挖矿、盗取用户个人财产的网络攻击行为,也给企业和个人带来严重的安全威胁。

  入侵网站植入远程控制后门 攻击者疑似Web安全从业人员

  近日发生一起利用PowerShell执行恶意远程控制代码案例。PowerShell通过带参数执行.NET代码,对关键代码部分解码解压后可知通过申请内存,创建远线程的方式执行一段Base64编码的Shellcode。Shellcode连接服务器地址下载一个网络文件,下载的网络文件是一个PE文件,在内存中展开执行。

  有趣的是,通过追踪溯源后发现疑似攻击者的一个网络博客,且通过博客内容可知该博主疑似安全行业从业人员。

  (图:疑似攻击者的网络博客)

  PowerShell下载执行木马挖取比特票 严重影响用户上网体验

  挖矿木马风行,PowerShell也成为了挖矿木马的好帮手。腾讯御见威胁情报中心捕获到利用PowerShell下载云端压缩包,最终解压出挖矿病毒文件挖取比特票的挖矿木马。木马运行后将导致受害者系统资源被大量占用,机器CPU使用率暴涨,造成系统操作卡顿,严重影响用户的上网体验。

  (图:矿机使用的挖矿钱包当前信息)

  PowerShell下载数字货币交易劫持木马 给企业带来严重安全威胁

  通过PowerShell下载读取云端图片,图片内藏恶意编码的Shellcode代码和攻击模块,恶意模块被加载后会默认安装恶意浏览器插件进一步实施挖矿,劫持用户数字货币交易行为。倘若该中毒电脑上进行数字虚拟货币交易,木马可以在交易瞬间将收款人钱包地址换成病毒设定的钱包地址,成功实现抢钱目的。

  对企业而言,服务器被攻击拉起PowerShell进程执行远程恶意代码,多数情况下是由于企业自身安全意识不足,对爆出的系统漏洞和应用程序漏洞未及时进行修复,进而导致服务器被入侵,影响企业正常运转。攻击者通常是利用爆出已久的高危安全漏洞来进行攻击,其中Weblogic反序列化漏洞、MS17-010、Struts2系列漏洞都备受攻击者青睐。

  (图:结合PowerShell常投放的Nday)

  “弱口令”也会给企业带来未知的安全隐患,降低了攻击者的攻击成本。部分攻击者还会结合社工欺骗、钓鱼的方式伪造攻击邮件,结合Office宏来执行恶意代码,进一步实施攻击。据统计,攻击者在入侵成功后,最喜欢投放的是挖矿木马,其次为勒索病毒,这些都给企业带来严重的安全威胁。

  (图:结合PowerShell常投放的威胁种类)

  腾讯安全技术专家指出,攻击者利用PowerShell结合钓鱼邮件实施的Office宏攻击会给企业带来严重的安全威胁。企业可默认禁用Office宏功能,以阻断攻击入口。此外,企业应及时修复系统安全漏洞和应用程序安全漏洞,防止被不法黑客利用执行远程代码攻击,从而阻断攻击入口。

  腾讯安全反病毒实验室专家马劲松建议企业用户全网安装腾讯御点终端安全管理系统,该系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

  (图:腾讯御点漏洞修复页面)

  除此之外,腾讯御界防APT邮件网关通过对邮件多维度信息的综合分析,可迅速识别钓鱼邮件、病毒木马附件、漏洞利用附件等威胁,有效防范邮件安全风险,保护企业免受数据和财产损失。

  (图:腾讯御界防APT邮件网关页面)






  声明:本文仅为传递更多网络信息,不代表本站观点和意见,仅供参考了解,更不能作为投资使用依据。


返回网站首页

本文评论
外媒:丰田汽车迫于创新压力 将削减营销成本增加研发费用
6月21日消息,据国外媒体报道,多位知情人士称,丰田汽车已开始从市场营销着手削减成本,并将资源转......
日期:06-21
梯形刘海亮了!魅族X8谍照曝光:一面苹果X,一面小米8?
之前黄章预告,魅族或将于7月底或8月初召开魅族16发布会,而这一日期很有可能是8月8日,现在就等魅......
日期:07-20
外媒观察:中国的银行们为何要与支付宝腾讯合作
8月30日消息,据国外媒体CNBC报道,另一个显示中国科技巨头影响力不断增强的迹象是,许多中国本土银......
日期:08-30
业内:中国半导体产业重视短期创新 放弃基础研究
中兴摔的一跤让整个中国的半导体产业都感到了一丝疼痛,但更重要的是,疼痛过后愿意正视这道“......
日期:09-06
2018年爱加密设定“最佳航线”,看移动安全领域如何“深耕细作”
都说“大海航行靠舵手”,其实比舵手更重要的是航线。从出发地到目的地,船舶会事先在汪......
日期:08-06
Snapchat如何玩转社交零售
当长尾市场开始爆满,一场围绕“社交”的头脑风暴就此展开,Snapchat就是其中之一,将社......
日期:09-26
图虫摄影师_SEVEN_评测美图T9:虚化惊艳画面质感处理展现古韵之美
户外人像摄影的难点之一,在于把控人与景的空间感和谐,在发挥选景环境特色的同时凸显人物的姿态表......
日期:07-12
外媒:迅雷与新大陆战略合作 探索网络安全和电子支付领域
据海外区块链媒体CoinSpeaker报道,区块链基础设施巨头迅雷与新大陆科技集团近日达成战略合作,共同......
日期:09-26
13年创业,王兴终成王
腾讯《深网》作者 相欣 everyone is a sailor voyaging in twin oceans ......
日期:06-25
康普观点:宽带网络的演进
如今,用户对宽带服务和更高带宽的需求之高可以说是前所未有。城市和农村地区正在加速网络部署,除......
日期:08-28
中国模拟芯片如何突围?
由于PC和智能手机的流行,英特尔、高通和三星等厂商不遗余力的普及,我们都知道了国内在这些数字芯......
日期:09-19
腾讯AI加速器二期90后、女性成员亮眼,北京深圳成员过半
近日,腾讯AI加速器二期成员名单已正式曝光。纵览该名单,除了细分赛道、成员估值、成员学历等亮点......
日期:08-03
卡思数据:科技类节目究竟该怎样做!
前不久, 抖音在官微发布的文章 《抖音最美好的,就是遇见你们》中公布了最新的用户数据,2018年6月......
日期:08-29
网络安全人才培养模式新探索 缓解行业人才供需不衡
信息时代,网络空间已经成为当今人类活动的“第五空间”,大到国家政治、经济、文化,小......
日期:10-03
美团外卖:被打送餐员伤情稳定 三名涉案嫌疑人已被刑拘
8月17日消息,针对外卖送餐员被殴打一事,美团外卖官微发布公告称,被殴打小哥送往医院救治后伤情稳......
日期:08-17
许家印“充值” 贾跃亭造车梦何时圆?
5月下旬,睿驰汽车以约3.64亿元竞得的广州南沙区土地正在平整,施工方称,该地块未交付给睿驰汽车。...
日期:06-29
互联网资管整治倒计时:违规业务未清零将被认定非法
本报记者 王晓 北京报道 “资产管理业务作为金融业务,属于特许经营行业,必须纳入金......
日期:06-15
五问“游戏成瘾”:到底玩到啥程度才算“病”?
6月12日,在美国洛杉矶,人们在E3电子娱乐展上体验电子游戏。新华社/法新...
日期:06-25
外媒:为了与腾讯竞争 阿里应该收购抖音
据VulcanPost北京时间7月18日报道,尽管阿里巴巴和腾讯属于不同的阵营——前者在中国电商......
日期:07-19
外媒:华为计划下半年推出游戏手机
目前搭载发烧级配置的游戏手机已经成为了众多手机厂商下一个追逐的目标,其中就包括小米和华为。目......
日期:07-02