没有合适的资源?快使用搜索试试~ 我知道了~
多起利用 POWERSHELL 传播恶意代码的事件分析1
需积分: 0 0 下载量 167 浏览量
2022-08-04
14:48:56
上传
评论
收藏 1.45MB PDF 举报
温馨提示
试读
12页
报告初稿完成时间:2016 年 03 月 16 日 13 时 21 分本版本更新时间:2016 年 03 月 18 日 14 时 33 分多起利用 POWERS
资源详情
资源评论
资源推荐
报告初稿完成时间:2016 年 03 月 16 日 13 时 21 分
首次发布时间:YYYY 年 MM 月 DD 日 hh 时 mm 分
本版本更新时间:2016 年 03 月 18 日 14 时 33 分
多起利用 POWERSHELL 传播
恶意代码的事件分析
安天安全研究与应急处理中心(Antiy CERT)
多起利用 PowerShell 传播恶意代码的事件分析
©安天实验室 版权所有,欢迎无损转载 第 2 页
目 录
1 概述...................................................................................................................................................................... 1
2 利用宏病毒执行 POWERSHELL 进行传播恶意代码 ............................................................................................. 1
3 利用安装包捆绑 POWERSHELL 传播恶意代码 ..................................................................................................... 2
4 利用入侵 MYSQL 植入 POWERSHELL 传播恶意代码............................................................................................ 4
4.1 数据库入侵步骤 .................................................................................................................................................. 4
4.2 POWERSHELL 脚本分析 ........................................................................................................................................... 5
5 安全防御建议 ...................................................................................................................................................... 6
6 涉及的样本 HASH 列表 ........................................................................................................................................ 9
附录一:参考资料 ....................................................................................................................................................... 9
附录二:关于安天 ....................................................................................................................................................... 9
多起利用 PowerShell 传播恶意代码的事件分析
©安天实验室 版权所有,欢迎无损转载 第 1 页
1 概述
近日,安天安全研究与应急处理中心(Antiy CERT)的研究人员发现了多起利用 PowerShell
[1]
传播恶意
代码的事件。
PowerShell 具有许多实用与强大的功能,在方便用户使用的同时,也为不法份子打开了便捷之门。攻击
者可以利用 PowerShell 命令下载恶意代码到用户系统中运行,这种方法可以躲避部分反病毒产品的检测;
同时,还可以通过命令行调用 PowerShell 将一段加密数据加载到内存中执行,实现这种无实体文件的攻击
方法。在去年 5 月份,安天 CERT 所发布的《一例针对中方机构的准 APT 攻击中所使用的样本分析》
[2]
正
是使用了这种攻击方法,当时,安天 CERT 的研究人员即预测利用 PowerShell 进行攻击的安全事件将越来
越多。本文将对近期发现的 PowerShell 攻击事件进行分析。
2 利用宏病毒执行 PowerShell 进行传播恶意代码
安天 CERT 近期发现多起通过社工邮件传播具有窃取网银信息功能的恶意代码家族 Dridex
[3]
的事件。与
2015 年利用宏脚本直接下载 Dridex 不同的是,此次利用宏调用 PowerShell 下载 Dridex,这种方法可以躲避
部分反病毒软件的检测。
攻击者将后缀名为 rtf 的文档作为邮件附件,文档中带有宏代码,宏代码的功能是调用 PowerShell 命令,
下载指定 URL 的文件到系统中运行。
图 1 社工邮件
剩余11页未读,继续阅读
刘璐璐璐璐璐
- 粉丝: 31
- 资源: 326
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0