PowerShell恶意利用攻击频繁,企业须做好安全防范

栏目: 编程工具 · 发布时间: 6年前

内容简介:近期,腾讯御见威胁情报中心监控到利用PowerShell执行恶意代码的攻击频繁发生。此类型攻击利用受害者系统受信任程序的特点,达到系统应用白进程执行恶意代码,从而使受害者难以发现。另外PowerShell结合 .NET 实施的“无文件”攻击,也让此类威胁活动混合在正常的网络流量,系统工作内,致使威胁活动更加难以追踪。从而达到攻击行为便捷,有效,隐蔽的特点。借助此类攻击方式实施的窃密,挖矿,盗取用户个人财产的网络攻击行为,也给企业和个人带来严重的安全威胁。无文件攻击,指攻击代码的下载和执行过程均在内存实现,

近期,腾讯御见威胁情报中心监控到利用PowerShell执行恶意代码的攻击频繁发生。此类型攻击利用受害者系统受信任程序的特点,达到系统应用白进程执行恶意代码,从而使受害者难以发现。

另外PowerShell结合 .NET 实施的“无文件”攻击,也让此类威胁活动混合在正常的网络流量,系统工作内,致使威胁活动更加难以追踪。从而达到攻击行为便捷,有效,隐蔽的特点。借助此类攻击方式实施的窃密,挖矿,盗取用户个人财产的网络攻击行为,也给企业和个人带来严重的安全威胁。

无文件攻击,指攻击代码的下载和执行过程均在内存实现,并不在系统创建攻击文件,可以有效逃避安全软件的行为拦截,是近来极为流行的攻击方式。

案例1:webhack入侵植入远控后门

近日捕获到的一起利用PowerShell执行恶意远控代码案例,有趣的是,通过追踪溯源后可发现,实施攻击者博客域名为WebHack.me,疑似Web安全从业人员。

PowerShell恶意利用攻击频繁,企业须做好安全防范

PowerShell通过带参数执行.NET代码,关键部分代码使用GZIP压缩并Base64编码。

PowerShell恶意利用攻击频繁,企业须做好安全防范

对关键代码部分解码解压缩后可知通过申请内存,创建远线程的方式执行一段Base64编码的Shellcode。

PowerShell恶意利用攻击频繁,企业须做好安全防范

Shellcode连接服务器地址104.128.95.171拉取一个网络文件

PowerShell恶意利用攻击频繁,企业须做好安全防范

拉取的网络文件为一个PE文件在内存中展开执行。

PowerShell恶意利用攻击频繁,企业须做好安全防范

Dump出文件为反射式装载的恶意DLL后门攻击模块

PowerShell恶意利用攻击频繁,企业须做好安全防范

查看Dump文件PE文件头部代码可知,也是一段Shellcode,目的为从PE文件头部开始执行导出函数自装载,并带参数4执行DLLMain进入主流程。

PowerShell恶意利用攻击频繁,企业须做好安全防范

查看DllMain可知只有当fdwReason参数为4才执行远控功能流程,这也导致正常情况下加载该DLL将不会触发该远控流程。

PowerShell恶意利用攻击频繁,企业须做好安全防范

DLL攻击后门通过与0×69异或解密配置信息解密远控后门C2。

PowerShell恶意利用攻击频繁,企业须做好安全防范

解密出明文C2地址104.128.95.171

PowerShell恶意利用攻击频繁,企业须做好安全防范

并获取用户名,机器名,系统版本,宿主进程信息发送到C2,该DLL其实为Cobalt Strike生成的后门模块,具备文件下载,键盘记录,屏幕截图,进程管理,执行脚本等常用远控功能,在此不过多描述。有趣的是,通过对该文件C2进行溯源,发现疑似攻击者的一个网络博客,且通过博客内容可知该博主疑似安全行业从业人员。

PowerShell恶意利用攻击频繁,企业须做好安全防范

根据C2和文件下载地址可以关联到 www.webhack.me 站点

PowerShell恶意利用攻击频繁,企业须做好安全防范

找到C2对应的网络博客,攻击者疑似web安全行业从业人员

案例2:PowerShell下载执行木马挖取比特票

挖矿木马风行,PowerShell也成为了挖矿木马的好帮手,近期也捕获到利用PowerShell拉取云端压缩包,最终解压出挖矿病毒文件挖取比特票的挖矿木马,木马运行后将导致受害者系统资源被大量占用,造成系统操作卡顿,严重影响用户的上网和工作。

PowerShell恶意利用攻击频繁,企业须做好安全防范

混淆代码最终带参数执行的PowerShell

PowerShell恶意利用攻击频繁,企业须做好安全防范

拉取文件最终为一个自解压包挖取比特票

PowerShell恶意利用攻击频繁,企业须做好安全防范

矿机使用的挖矿钱包当前信息

PowerShell恶意利用攻击频繁,企业须做好安全防范

测试观察被植入挖矿木马后的机器CPU使用率将暴涨,将严重影响用户上网体验

PowerShell恶意利用攻击频繁,企业须做好安全防范

而通过下载地址中暴露的QQ信息关联到的可疑攻击者

案例3:PowerShell拉取数字货币交易劫持木马

通过PowerShell结合拉取读取云端图片,图片内藏恶意编码的Shellcode代码、攻击模块,恶意模块被加载后则静默安装恶意浏览器插件进一步实施挖矿,劫持用户数字货币交易行为。

PowerShell恶意利用攻击频繁,企业须做好安全防范

混淆的PowerShell参数

PowerShell恶意利用攻击频繁,企业须做好安全防范

整理后PowerShell 携带.NET代码从云端图片读取恶意编码的Shellcode执行

PowerShell恶意利用攻击频繁,企业须做好安全防范

Shellcode装载恶意模块最终安装Chrome插件包挖矿,劫持用户数字货币交易地址

PowerShell恶意利用攻击频繁,企业须做好安全防范

通过病毒使用的js挖矿页面可找到其攻击者的github相关信息

对企业而言,服务器被攻击拉起PowerShell进程执行远程恶意代码,多数情况下是由于企业自身安全意识不足,对爆出的系统漏洞和应用程序漏洞未及时进行修复,进而导致服务器被入侵,影响企业内业务的正常运转。

综合统计来看,攻击者通常是利用爆出已久的高危安全漏洞来进行攻击,其中Weblogic反序列化漏洞、永恒之蓝MS17-010、Struts2系列漏洞都备受攻击者青睐。

PowerShell恶意利用攻击频繁,企业须做好安全防范

“弱口令”也会给企业带来未知的安全隐患,且降低了攻击者的攻击成本。部分攻击者还会结合社工,钓鱼的方式利用恶意邮件,并结合Office宏来执行恶意代码,进一步实施攻击。

据统计,攻击者在入侵成功后,最喜欢投放的是挖矿木马,其次为勒索病毒,这与数字货币当前的热潮有直接关系。而窃密行为木马,通用远控木马,更多情况下为针对企业实施的定向攻击行为。这些都给企业带来严重的安全威胁。

PowerShell恶意利用攻击频繁,企业须做好安全防范

安全建议

1.企业中如无PowerShell管理 工具 使用需求场景,可考虑配置禁用或限制相应的权限和功能。

2.针对企业而言,攻击者利用PowerShell结合钓鱼邮件实施的Office宏攻击也会带来严重的安全威胁。企业可默认禁用Office宏功能,以阻断攻击入口。

3.企业应及时修复系统安全漏洞和应用程序安全漏洞,防止被黑客利用执行远程代码攻击,从而阻断攻击入口。

4.PowerShell通常还会结合WMI启动项进一步实现长期无文件驻留,可使用Autoruns之类的工具查看是否有可疑启动项并加以清理。

5.企业可定期监控系统中模块活动和网络流量,进一步发现异常信息排除安全威胁。

6.企业用户建议全网安装御点终端安全管理系统( https://s.tencent.com/product/yd/index.html )。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

PowerShell恶意利用攻击频繁,企业须做好安全防范

7.企业用户推荐使用腾讯御界防APT邮件网关(下载地址: https://s.tencent.com/product/yjwg/index.html ),通过对邮件多维度信息的综合分析,可迅速识别钓鱼邮件、病毒木马附件、漏洞利用附件等威胁,有效防范邮件安全风险,保护企业免受数据和财产损失。

PowerShell恶意利用攻击频繁,企业须做好安全防范


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

生物信息学算法导论

生物信息学算法导论

N.C.琼斯 / 第1版 (2007年7月1日) / 2007-7 / 45.0

这是一本关于生物信息学算法和计算思想的导论性教科书,原著由国际上的权威学者撰写,经国内知名专家精心翻译为中文,系统介绍推动生物信息学不断进步的算法原理。全书强调的是算法中思想的运用,而不是对表面上并不相关的各类问题进行简单的堆砌。 体现了以下特色: 阐述生物学中的相关问题,涉及对问题的模型化处理并提供一种或多种解决方案: 简要介绍生物信息学领域领军人物; 饶有趣味的小插图使得概念更加具体和形象,方......一起来看看 《生物信息学算法导论》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

RGB HSV 转换
RGB HSV 转换

RGB HSV 互转工具

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具