2018年上半年无文件/PowerShell恶意活动飙升至新高度

2018年上半年,打单软件的传播态势依然十分严酷,同时无文件和PowerShell的进击数量激增,已成为今年要重点关注的领域。

近日,终端安然公司SentinelOne宣布了“2018年上半年企业风险指数申报”,申报显示:2018年1月至6月时代,无文件进击次数增添了94%;PowerShell进击从2018年5月的每1000个终端遭受2.5次进击飙升到6月的每1000个终端遭受5.2次进击;打单软件传播态势依然十分严酷且上升速度很快,每1000个终端遭受进击的数量从1月的5.6极速上升至6月的14.4。

无文件恶意软件初探

SentinelOne的产品治理总监和该申报的认真人Aviram Shmueli表示,无文件和PowerShell进击的激增在料想之中,这两种进击要领对付想暗藏于系统之中,进行经久恶意活动和偷取数据的进击者而言分外有吸引力。

顾名思义,无文件恶意软件会在感染目标谋略机时,不会在本地硬盘驱动器上留下任何工件,从而轻松规避传统的基于署名和文件检测的安然软件。最为范例的无文件进击要领使用浏览器和相关法度榜样(Java、Flash或PDF涉猎器)中的破绽,或经由过程诱用户点击附件而实现收集钓鱼进击。

在无文件恶意软件进击情形中,恶意代码在谋略机的内存中运行,并调用Windows系统上已有的法度榜样,如PowerShell和Windows Management Instrumentation(WMI),不会再目标系统上增添或删除任何文件。

进击者应用Windows对象(如PowerShell)来维持对目标系统的经久节制,由于无文件恶意软件必要在目标系统的内存中运行代码。每次从新启动终端时,进击历程都邑中断。为了办理这个限定,进击者会先遍历一遍系统上的利用法度榜样,应用PowerShell在后台打开一个利用法度榜样,如记事本或谋略器,经由过程其占用的内存运行。另一种确保经久节制的措施是加载PowerShell脚本,该脚本唆使目标谋略机在每次启动PC时从新加载恶意代码并运行。

举一些对照范例的例子:

卡巴斯基实验室在7月的博客文章中具体先容了PowerGhost无文件挖矿软件。PowerGhost是一个颠末肴杂的PowerShell脚本。首先,它经由过程各类要领被植入目标系统的内存汇总,并应用WMI对象和Mimikatz数据提取对象来提升权限并设置挖矿操作。

近来,钻研职员又发清楚明了CactusTorch无文件恶意软件,它经由过程内存直接运行和加载恶意.NET文件。

类似的恶意活动极速增添

SentinelOne的这份申报并不是独一指出无文件/PowerShell恶意活动大年夜幅上升的声音。今年早些时刻,迈克菲宣布的钻研查询查询结果显示,仅在2017年第四时度与一年前同期比拟,无文件恶意软件借助PowerShell进行传播和运行的环境呈现了267%的飙升。

Aviram表示:“因为PowerShell中已经安装在Windows操作系统上,无需安装任何其他器械即可进行恶意活动。在可预见的未来,黑客肯定会加倍频繁地应用这种要领。同时进击的要领将越来越繁杂,并转向更高档形式的收集犯罪。此外,安然软件对这种进击要领的防御很不完善,必要大年夜家重点关注。”

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包