新的赎金软件滥用Windows PowerShell,Word Document宏
研究人员警告说,在Windows PowerShell中编写的新赎金软件程序正在用于对企业的攻击,包括医疗组织,包括医疗保健组织。
PowerShell是一个任务自动化和配置管理框架,其包含在Windows中,并且通常由Systems Administrators常用。它拥有自己的强大脚本语言,已被用于创建过去的复杂恶意软件。
来自安全公司炭黑的研究人员发现了新的赎金软件程序被称为PowerWare,并且正在通过包含具有恶意宏的Word文档的网络钓鱼电子邮件分发给受害者,这是一种越来越常见的攻击技术。
当它针对其中一个客户时,碳黑团队找到了PowerWare:一个未命名的医疗保健组织。多家医院最近将受害者归咎于赎金软件攻击。
炭黑研究人员说,伪装成作为发票的恶意词文件。打开后,它指示用户启用Word编辑和内容,声称这些操作是要查看文件所必需的。
实际上,启用编辑禁用Microsoft Word“S的”预览“沙箱和启用内容允许执行嵌入式宏代码,默认情况下的Office块。
如果允许恶意宏代码运行,它将打开Windows命令行(CMD.EXE)并启动两个PowerShell(PowerShell.exe)的实例。一个实例以PowerShell脚本的形式下载来自远程服务器的PowerWare ransomware,另一个实例执行脚本。
在此之后,感染例程类似于其他勒索软件程序的程序:脚本生成加密密钥;使用它来加密具有特定扩展的文件,包括文档,图片,视频,档案和源代码;将密钥发送到攻击者“服务器,并以HTML文件的形式生成赎金笔记。
根据付款指示,攻击者使用TOR匿名网络隐藏其命令和控制服务器。最初的赎金是500美元,但几周后它达到了1000美元。
PowerWare不是PowerShell中的第一个勒索软件实现。Sophos的安全研究人员在2013年发现了类似的俄语赎金软件计划。然后在2015年,他们发现了另一个人从破坏糟糕的电视节目中使用“Los Pollos Hermanos”标志。
虽然基于PowerShell的恶意软件不是新的,但最近几个月的使用增加了,而且由于PowerShell的合法使用和流行,特别是在企业环境中,它可以比传统恶意软件更难地检测到传统恶意软件。
