近期,，騰訊御見威脅情報(bào)中心監(jiān)控到利用PowerShell執(zhí)行惡意代碼的攻擊頻繁發(fā)生,。此類型攻擊利用受害者系統(tǒng)正常應(yīng)用白進(jìn)程調(diào)用同名資源文件來執(zhí)行惡意代碼,，從而繞過安全軟件的攔截,，使受害者難以發(fā)現(xiàn),。

PowerShell結(jié)合 .NET 實(shí)施的“無文件”攻擊，指攻擊代碼的下載和執(zhí)行過程均在內(nèi)存中實(shí)現(xiàn),，并不在系統(tǒng)創(chuàng)建攻擊文件,，可以有效逃避安全軟件的行為攔截，致使威脅活動更加難以追蹤,，從而達(dá)到攻擊行為便捷,、有效、隱蔽的特點(diǎn),。借助此類攻擊方式實(shí)施的竊密,、挖礦、盜取用戶個人財(cái)產(chǎn)的網(wǎng)絡(luò)攻擊行為,，也給企業(yè)和個人帶來嚴(yán)重的安全威脅,。

入侵網(wǎng)站植入遠(yuǎn)程控制后門 攻擊者疑似Web安全從業(yè)人員

近日發(fā)生一起利用PowerShell執(zhí)行惡意遠(yuǎn)程控制代碼案例。PowerShell通過帶參數(shù)執(zhí)行.NET代碼,，對關(guān)鍵代碼部分解碼解壓后可知通過申請內(nèi)存,，創(chuàng)建遠(yuǎn)線程的方式執(zhí)行一段Base64編碼的Shellcode。Shellcode連接服務(wù)器地址下載一個網(wǎng)絡(luò)文件,，下載的網(wǎng)絡(luò)文件是一個PE文件,，在內(nèi)存中展開執(zhí)行。

有趣的是,，通過追蹤溯源后發(fā)現(xiàn)疑似攻擊者的一個網(wǎng)絡(luò)博客,，且通過博客內(nèi)容可知該博主疑似安全行業(yè)從業(yè)人員。

（圖：疑似攻擊者的網(wǎng)絡(luò)博客）

PowerShell下載執(zhí)行木馬挖取比特票 嚴(yán)重影響用戶上網(wǎng)體驗(yàn)

挖礦木馬風(fēng)行,，PowerShell也成為了挖礦木馬的好幫手,。騰訊御見威脅情報(bào)中心捕獲到利用PowerShell下載云端壓縮包，最終解壓出挖礦病毒文件挖取比特票的挖礦木馬,。木馬運(yùn)行后將導(dǎo)致受害者系統(tǒng)資源被大量占用,，機(jī)器CPU使用率暴漲，造成系統(tǒng)操作卡頓,，嚴(yán)重影響用戶的上網(wǎng)體驗(yàn),。

（圖：礦機(jī)使用的挖礦錢包當(dāng)前信息）

PowerShell下載數(shù)字貨幣交易劫持木馬 給企業(yè)帶來嚴(yán)重安全威脅

通過PowerShell下載讀取云端圖片,，圖片內(nèi)藏惡意編碼的Shellcode代碼和攻擊模塊，惡意模塊被加載后會默認(rèn)安裝惡意瀏覽器插件進(jìn)一步實(shí)施挖礦,，劫持用戶數(shù)字貨幣交易行為,。倘若該中毒電腦上進(jìn)行數(shù)字虛擬貨幣交易，木馬可以在交易瞬間將收款人錢包地址換成病毒設(shè)定的錢包地址,，成功實(shí)現(xiàn)搶錢目的,。

對企業(yè)而言，服務(wù)器被攻擊拉起PowerShell進(jìn)程執(zhí)行遠(yuǎn)程惡意代碼,，多數(shù)情況下是由于企業(yè)自身安全意識不足,，對爆出的系統(tǒng)漏洞和應(yīng)用程序漏洞未及時進(jìn)行修復(fù)，進(jìn)而導(dǎo)致服務(wù)器被入侵,，影響企業(yè)正常運(yùn)轉(zhuǎn),。攻擊者通常是利用爆出已久的高危安全漏洞來進(jìn)行攻擊，其中Weblogic反序列化漏洞,、MS17010,、Struts2系列漏洞都備受攻擊者青睞。

（圖：結(jié)合PowerShell常投放的Nday）

“弱口令”也會給企業(yè)帶來未知的安全隱患,，降低了攻擊者的攻擊成本,。部分攻擊者還會結(jié)合社工欺騙、釣魚的方式偽造攻擊郵件,，結(jié)合Office宏來執(zhí)行惡意代碼,，進(jìn)一步實(shí)施攻擊。據(jù)統(tǒng)計(jì),，攻擊者在入侵成功后,，最喜歡投放的是挖礦木馬，其次為勒索病毒,，這些都給企業(yè)帶來嚴(yán)重的安全威脅,。

（圖：結(jié)合PowerShell常投放的威脅種類）

騰訊安全技術(shù)專家指出，攻擊者利用PowerShell結(jié)合釣魚郵件實(shí)施的Office宏攻擊會給企業(yè)帶來嚴(yán)重的安全威脅,。企業(yè)可默認(rèn)禁用Office宏功能,，以阻斷攻擊入口。此外,，企業(yè)應(yīng)及時修復(fù)系統(tǒng)安全漏洞和應(yīng)用程序安全漏洞,，防止被不法黑客利用執(zhí)行遠(yuǎn)程代碼攻擊,，從而阻斷攻擊入口,。

騰訊安全反病毒實(shí)驗(yàn)室專家馬勁松建議企業(yè)用戶全網(wǎng)安裝騰訊御點(diǎn)終端安全管理系統(tǒng)，該系統(tǒng)具備終端殺毒統(tǒng)一管控,、修復(fù)漏洞統(tǒng)一管控,，以及策略管控等全方位的安全管理功能,，可幫助企業(yè)管理者全面了解、管理企業(yè)內(nèi)網(wǎng)安全狀況,、保護(hù)企業(yè)安全,。

（圖：騰訊御點(diǎn)漏洞修復(fù)頁面）

除此之外，騰訊御界防APT郵件網(wǎng)關(guān)通過對郵件多維度信息的綜合分析,，可迅速識別釣魚郵件,、病毒木馬附件、漏洞利用附件等威脅,，有效防范郵件安全風(fēng)險,，保護(hù)企業(yè)免受數(shù)據(jù)和財(cái)產(chǎn)損失。

（圖：騰訊御界防APT郵件網(wǎng)關(guān)頁面）