Powershell安全威胁比以往任何时候都大,研究人员警告

2021-08-09 15:46:08来源:

根据研究人员,Microsoft'Swindows PowerShellConfiguration Management ManageWontinue由Cyber​​攻击者被滥用,这些攻击者遭到相关威胁的激增。

2016年3月,安全专家警告说,PowerShell已经熟悉武器。在下个月内,一份报告证实,PowerShell于2015年推出了安全Firmcarbon Blackand的38%的网络攻击。

现在发现赛门铁克研究人员分析的超过95%的PowerShell脚本是恶意的,其中111家威胁家庭使用PowerShell。

根据坦率Wueest,赛门铁克的坦率维护,赛门铁克的威胁研究人员,攻击者正在使用框架的灵活性,攻击者正在使用框架的灵活性,攻击者正在使用框架的灵活性。

“这表明外部源泉的掌握脚本是对企业的重大威胁,”他在博客帖子中写道。

研究人员还发现,许多有针对性的攻击组在其攻击链中使用PowerShell,因为它可以轻松访问Microsoft Windows操作系统的所有主要功能。

PowerShell对攻击者也有吸引力,因为它是在运行Windows的计算机上安装的默认情况下,留下了一些痕迹进行分析。这是因为框架可以直接从内存执行有效载荷。

滥用PowerShell通常会更容易,因为大多数组织都无法在其计算机上启用监控和扩展日志,使PowerShell威胁更难检测。

虽然许多系统管理员使用PowerShell脚本进行日常管理任务,但研究人员已经看到攻击者越来越多地利用他们的广告系列框架。

赛门铁克的说法,许多最近有针对性的攻击已经使用了PowerShell脚本。“Odinaff组在全球金融组织袭击金融组织时使用了恶意PowerShell脚本,”Wueest说。

“普通的网络罪犯也在利用PowerShell,例如Trojan.Kotver背后的攻击者,他们使用脚本语言创造一个完全包含在注册表中的无用感染,”他说。

恶意PowerShell脚本主要用作下载者,即Wueest,例如Office宏,以及在横向移动阶段,其中威胁在网络内扩展时在远程计算机上执行代码。

目前使用PowerShell的最普遍的恶意软件系列是W97M.Downloader,Trojan.kotver和JS.Downloader。

在过去的六个月中,赛门铁克表示,它平均阻止了每天具有恶意JavaScript的466,028封电子邮件。

“并非所有恶意javascript文件都使用powershell下载文件,但我们看到框架的使用情况稳步增加,”Wueest说。

“一些最新的下载器攻击使用PowerShell通过多个阶段工作,附加脚本下载另一个脚本,这反过来又下载了有效载荷。攻击者使用这种复杂的感染方法试图绕过安全保护,“他说。

除了下载有效载荷之外,已用于执行各种任务,例如卸载安全产品,检测沙盒环境或嗅探网络的密码。

研究人员发现,PowerShell语言的灵活性允许以多种方式混淆脚本,例如命令快捷方式,转义字符或编码功能。

赛门铁克预计将来会出现更多的权力威胁。“我们强烈建议系统管理员升级到最新版本的PowerShell并启用扩展的日志记录和监控功能,”Wueest说。


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章