您的位置:首页 > 媒体评论

PowerShell发生多起攻击案例 目标多瞄准数字货币

发布时间:2018-07-03 14:40:30  来源:互联网     背景:

  近期,腾讯御见威胁情报中心监控到利用PowerShell执行恶意代码的攻击频繁发生。此类型攻击利用受害者系统正常应用白进程调用同名资源文件来执行恶意代码,从而绕过安全软件的拦截,使受害者难以发现。

  PowerShell结合 .NET 实施的“无文件”攻击,指攻击代码的下载和执行过程均在内存中实现,并不在系统创建攻击文件,可以有效逃避安全软件的行为拦截,致使威胁活动更加难以追踪,从而达到攻击行为便捷、有效、隐蔽的特点。借助此类攻击方式实施的窃密、挖矿、盗取用户个人财产的网络攻击行为,也给企业和个人带来严重的安全威胁。

  入侵网站植入远程控制后门 攻击者疑似Web安全从业人员

  近日发生一起利用PowerShell执行恶意远程控制代码案例。PowerShell通过带参数执行.NET代码,对关键代码部分解码解压后可知通过申请内存,创建远线程的方式执行一段Base64编码的Shellcode。Shellcode连接服务器地址下载一个网络文件,下载的网络文件是一个PE文件,在内存中展开执行。

  有趣的是,通过追踪溯源后发现疑似攻击者的一个网络博客,且通过博客内容可知该博主疑似安全行业从业人员。

  (图:疑似攻击者的网络博客)

  PowerShell下载执行木马挖取比特票 严重影响用户上网体验

  挖矿木马风行,PowerShell也成为了挖矿木马的好帮手。腾讯御见威胁情报中心捕获到利用PowerShell下载云端压缩包,最终解压出挖矿病毒文件挖取比特票的挖矿木马。木马运行后将导致受害者系统资源被大量占用,机器CPU使用率暴涨,造成系统操作卡顿,严重影响用户的上网体验。

  (图:矿机使用的挖矿钱包当前信息)

  PowerShell下载数字货币交易劫持木马 给企业带来严重安全威胁

  通过PowerShell下载读取云端图片,图片内藏恶意编码的Shellcode代码和攻击模块,恶意模块被加载后会默认安装恶意浏览器插件进一步实施挖矿,劫持用户数字货币交易行为。倘若该中毒电脑上进行数字虚拟货币交易,木马可以在交易瞬间将收款人钱包地址换成病毒设定的钱包地址,成功实现抢钱目的。

  对企业而言,服务器被攻击拉起PowerShell进程执行远程恶意代码,多数情况下是由于企业自身安全意识不足,对爆出的系统漏洞和应用程序漏洞未及时进行修复,进而导致服务器被入侵,影响企业正常运转。攻击者通常是利用爆出已久的高危安全漏洞来进行攻击,其中Weblogic反序列化漏洞、MS17-010、Struts2系列漏洞都备受攻击者青睐。

  (图:结合PowerShell常投放的Nday)

  “弱口令”也会给企业带来未知的安全隐患,降低了攻击者的攻击成本。部分攻击者还会结合社工欺骗、钓鱼的方式伪造攻击邮件,结合Office宏来执行恶意代码,进一步实施攻击。据统计,攻击者在入侵成功后,最喜欢投放的是挖矿木马,其次为勒索病毒,这些都给企业带来严重的安全威胁。

  (图:结合PowerShell常投放的威胁种类)

  腾讯安全技术专家指出,攻击者利用PowerShell结合钓鱼邮件实施的Office宏攻击会给企业带来严重的安全威胁。企业可默认禁用Office宏功能,以阻断攻击入口。此外,企业应及时修复系统安全漏洞和应用程序安全漏洞,防止被不法黑客利用执行远程代码攻击,从而阻断攻击入口。

  腾讯安全反病毒实验室专家马劲松建议企业用户全网安装腾讯御点终端安全管理系统,该系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

  (图:腾讯御点漏洞修复页面)

  除此之外,腾讯御界防APT邮件网关通过对邮件多维度信息的综合分析,可迅速识别钓鱼邮件、病毒木马附件、漏洞利用附件等威胁,有效防范邮件安全风险,保护企业免受数据和财产损失。

  (图:腾讯御界防APT邮件网关页面)






  声明:本文仅为传递更多网络信息,不代表本站观点和意见,仅供参考了解,更不能作为投资使用依据。


返回网站首页

本文评论
收购医药电商:亚马逊为何如此疯狂“买买买”?
北京时间6月29日早间消息,亚马逊本周四以约10亿美元的价格收购了医药电商平台PillPack。这不仅表明,亚......
日期:06-29
饿了么小哥深夜帮走失女童找家人,第二天她爹妈愣是说出了这种话……
在饿了么外卖侠的队伍中,小哥帮助走失儿童找到父母的事情发生过很多次了,但像这位外卖侠这样,遇......
日期:07-20
外媒:华为计划下半年推出游戏手机
目前搭载发烧级配置的游戏手机已经成为了众多手机厂商下一个追逐的目标,其中就包括小米和华为。目......
日期:07-02
风雨漩涡中的互联网电视品牌 如何见彩虹?
2018年,互联网电视品牌仍旧面临“生死存亡”的巨大考验。...
日期:08-13
只需五步 腾讯守护者计划全面打击网络传销的底气在哪?
全民参与打击网络传销在2018年正在从构想变成现实。8月7日,腾讯守护者计划2018公益行动正式启动。......
日期:08-09
连续三个月出货量下降 疲软的国内手机市场如何拯救
图片来源:视觉中国 9月10日,中国信通院发布了最新的《2018年8月国内手机市场运行分析报......
日期:09-11
苹果这半年:高端地位依旧稳固,技术引领无惧唱衰
文|邻章(本文由邻章与腾讯数码联合首发) 时光恍惚,倏然间2018已经走过半程,而智能手机市......
日期:06-23
易观分析:2018ChinaJoy收官 飞流移动持续精品输出打造综合竞争力
为期四天的2018年第十六届中国国际数码互动娱乐展览会(简称ChinaJoy)在上海新国际博览中心圆满落幕......
日期:08-16
外媒开始上拼多多打假了 发现大量进口产品假货
近日,英国《每日邮报》(Daily Mail)、澳大利亚《外交学者》(The Diplomat)、新西兰《先驱报》(NZ H......
日期:08-21
从百度音乐更名说起,乐坛已是严重依赖互联网的文娱市场
最近太合音乐又把旗下的百度音乐播放器,改名成“千千音乐”,而百度音乐的前身本来就是“千千静听”。一个...
日期:06-23
搜索或AI 谷歌回中国都很难讨到好处
刚刚过去的7月,谷歌回归中国的传言又一次尘嚣日上。有外媒报道称,谷歌计划在中国推出符合中国法律......
日期:08-02
国产工业机器人想统治中国市场 外媒:任重道远
8月21日消息,据国外媒体报道,著名咨询公司麦肯锡的一位高级合伙人日前接受采访时表示,中国对机器......
日期:08-21
国产手机到底凭什么翻身?
图片来源@视觉中国 全球手机市场格局 今年年初工信部公布的《2017年电子信息制造业......
日期:09-07
8年后欲重返中国?Google早已被中国市场甩出赛道
近日,据国外媒体 Intercept 报道,Google计划在中国推出符合中国法律规定的搜索引擎,如果此消息属......
日期:08-02
港媒:滴滴融资计划放缓,目标2019年下半年IPO
《南华早报》今日在报道中援引了知情人士消息,表示滴滴出行可能放缓融资计划,在2019年下半年进行I......
日期:07-13
特斯拉在华电动车市场不占优势
之前,媒体集中报道特斯拉要在中国建厂的消息,但是它们却忽视了大量的细节。比如说,谁将为建厂买......
日期:07-16
网红粉丝规模接近6亿 电商直播仍是盈利核心
[摘要]广告收入增长迅猛,成为继电商之后网络红人重要的收入来源。...
日期:06-20
台媒:台积电计划2022年开始量产3nm芯片
台积电在8月14日宣布,公司董事会已批准了一项约45亿美元的资本预算。未来将会使用该预算来修建新的......
日期:08-16
慢与快 华为云进击背后的商业哲学
华为云BU是华为最年轻、同时也是成长最快的一级业务部门。华为2017年报显示,华为云用户量、资源使......
日期:09-21
联想SIoT产品1元抢购正式启动 低价享受智能生活
9月26日,一年一度的联想创新科技大会(Lenovo Tech World 2018)在北京雁栖湖国际会展中心召开,个人......
日期:09-27