快捷搜索:  网络  后门  扫描  渗透  CVE  木马  黑客  as

PowerShell恶意行使攻击频仍,企业须做好安全防范

近期,腾讯御见威胁情报中心监控到行使PowerShell执行恶意代码的攻击频仍发生。此类型攻击行使受害者体系受信任程序的特点,达到体系应用白进程执行恶意代码,从而使受害者难以发现。

另外PowerShell结合 .NET 实施的“无文件”攻击,也让此类威胁活动混合在正常的收集流量,体系工作内,致使威胁活动愈加难以追踪。从而达到攻击举动便捷,有用,隐蔽的特点。借助此类攻击方式实施的窃密,挖矿,盗取用户小我私人财产的收集攻击举动,也给企业以及小我私人带来严重的安全威胁。

无文件攻击,指攻击代码的下载以及执行过程均在内存完成,并不在体系创建攻击文件,可以有用逃避安全软件的举动拦截,是最近极为流行的攻击方式。

案例1:webhack入侵植入遥控后门

近日拿获到的一块儿行使PowerShell执行恶意遥控代码案例,有趣的是,通过追踪溯源后可发现,实施攻击者博客域名为WebHack.me,疑似Web安全从业人员。

1.png

PowerShell通过带参数执行.NET代码,症结部分代码使用GZIP压缩并Base64编码。

2.png

对症结代码部分解码解压缩后可知通过申请内存,创建遥线程的方式执行一段Base64编码的Shellcode。

3.png

Shellcode连接服务器地址104.128.95.171拉取一个收集文件

4.png

拉取的收集文件为一个PE文件在内存中放开执行。

5.png

Dump出文件为反射式装载的恶意DLL后门攻击模块

6.png

查看Dump文件PE文件头部代码可知,也是一段Shellcode,目的为从PE文件头部最先执行导出函数自装载,并带参数4执行DLLMain进入支流程。

7.png

查看DllMain可知只有当fdwReason参数为4才执行遥控功能流程,这也导致正常情形下加载该DLL将不会触发该遥控流程。

8.png

DLL攻击后门通过与0×69异或解密设置信息解密遥控后门C2。

9.png

解密出明文C2地址104.128.95.171

10.png

并获取用户名,机器名,体系版本,宿主进程信息发送到C2,该DLL实在为Cobalt Strike生成的后门模块,具备文件下载,键盘记录,屏幕截图,进程治理,执行脚本等经常使用遥控功能,在此无非量描摹。有趣的是,通过对该文件C2进行溯源,发现疑似攻击者的一个收集博客,且通过博客内容可知该博主疑似安全行业从业人员。

11.png

根据C2以及文件下载地址可以关联到www.webhack.me站点

12.png

找到C2对应的收集博客,攻击者疑似web安全行业从业人员

案例2:PowerShell下载执行木马挖取比特票

挖矿木马风行,PowerShell一样成为了挖矿木马的好帮手,近期也拿获到行使PowerShell拉取云端压缩包,终极解压出挖矿病毒文件挖取比特票的挖矿木马,木马运行后将导致受害者体系资源被大批占用,造成体系操作卡顿,严重影响用户的上彀以及工作。

13.png

混淆代码终极带参数执行的PowerShell

14.png

拉取文件终极为一个自解压包挖取比特票

15.png

矿机使用的挖矿钱包当前信息

16.png

测试观察被植入挖矿木马后的机器CPU使用率将暴跌,将严重影响用户上彀体验

17.png

而通过下载地址中暴露的QQ信息关联到的可疑攻击者

案例3:PowerShell拉取数字货币交易挟制木马

通过PowerShell结合拉取读取云端图片,图片内躲恶意编码的Shellcode代码、攻击模块,恶意模块被加载后则静默装置恶意阅读器插件进一步实施挖矿,挟制用户数字货币交易举动。

18.png

混淆的PowerShell参数

19.png

收拾整理后PowerShell 携带.NET代码从云端图片读取恶意编码的Shellcode执行

20.png

Shellcode装载恶意模块终极装置Chrome插件包挖矿,挟制用户数字货币交易地址

21.png

通过病毒使用的js挖矿页面可找到其攻击者的github相干信息

对企业而言,服务器被攻击拉起PowerShell进程执行遥程恶意代码,多数情形下是由于企业自身安全意识不足,对爆出的体系漏洞以及应用程序漏洞未及时进行修复,进而导致服务器被入侵,影响企业内营业的正常运转。

综合统计来看,攻击者一般为行使爆出已久的高危安全漏洞来进行攻击,其中Weblogic反序列化漏洞、永恒之蓝MS17-0十、Struts2系列漏洞都备受攻击者青睐。

22.png

  “弱口令”也会给企业带来未知的安全隐患,且降低了攻击者的攻击成本。部分攻击者还会结合社工,钓鱼的方式行使恶意邮件,并结合Office宏来执行恶意代码,进一步实施攻击。

据统计,攻击者在入侵成功后,最喜好投放的是挖矿木马,其次为勒索病毒,这与数字货币当前的高潮有直接关系。而窃密举动木马,通用遥控木马,更多情形下为针对企业实施的定向攻击举动。这些都给企业带来严重的安全威胁。

23.png

安全建议

1.企业中如无PowerShell治理工具使用需求场景,可考虑设置禁用或制约相应的权限以及功能。

2.针对企业而言,攻击者行使PowerShell结合钓鱼邮件实施的Office宏攻击也会带来严重的安全威胁。企业可默认禁用Office宏功能,以阻断攻击入口。

3.企业应及时修复体系安全漏洞以及应用程序安全漏洞,企业黑客,防止被黑客行使执行遥程代码攻击,从而阻断攻击入口。

4.PowerShell通常还会结合WMI启动项进一步完成长期无文件驻留,可使用Autoruns之类的工具查看是否有可疑启动项并加以清理。

5.企业可定期监控体系中模块活动以及收集流量,进一步发现异常信息排除安全威胁。

6.企业用户建议全网装置御点终端安全治理体系(https://s.tencent.com/product/yd/index.html)。御点终端安全治理体系具备终端杀毒统一管控、修复漏洞统一管控,和策略管控等全方位的安全治理功能,可帮助企业治理者周全了解、治理企业内网安全状况、维护企业安全。

24.png

7.企业用户推荐使用腾讯御界防APT邮件网关(下载地址:https://s.tencent.com/product/yjwg/index.html),通过对邮件多维度信息的综合阐发,可迅速识别钓鱼邮件、病毒木马附件、漏洞行使附件等威胁,有用防范邮件安全危害,维护企业免受数据以及财产丧失。

25.png

*

您可能还会对下面的文章感兴趣: