网络罪犯在赎金软件攻击中使用Microsoft PowerShell
Marvin Minsky,Ai先锋和图灵奖得主,死于88
UFO宽带网络看到导频测试的有希望的结果
表面3的固件更新,Surface Pro 3导致蓝屏,锁定,其他问题
年轻人不知道金融服务中的角色
苹果眼睛计划将我们转向LI-FI
学徒的毕业是埃森哲的纽卡斯尔枢纽的年龄
虚拟现实符合HP Sprout Pro的3D打印
勇敢的是名称,广告阻止新浏览器的游戏
Osnexus在QuantAstor V4中解锁了Ceph对象存储
它是英特尔的服务器芯片季节
政府首席技术官利亚姆麦克斯韦留下全新的工作作为数字Czar
仅IPv6将无法保护IOT,WARNS GE CISO
Google的Go升级修复了可能泄漏RSA私钥的错误
松下在特斯拉的巨蜜上投资1.6亿美元
面对技术变化,零售商眼睛需要创新
谷歌为零天内核缺陷创建修复,说对Android的影响被夸大了
全球公共云市场预计将于2016年达到204亿美元
St Andrews大学使用IoT来监控密封群体
Apple的Mac继续降压PC行业的收缩趋势
CIO采访:John Lewis的Paul Coby说,零售过去的未来指南
2016年英国最有影响力的女性:进入名人堂的参赛者
新加坡发布云中断指南
Martin Kuppinger说,客户关系仍然是竞争优势的关键
它去年在全球范围内坦克
微软将削减一些Azure Compute价格
Dropbox UPS云与项目无限的协作
超融合系统在五年内击中主流数据中心的采用
对于零售商来说,单独的电子商务不会出售
澳大利亚大学增加它超越全球平均水平
BBC Micro:位模型火箭汽车竞争激发了对茎的创造性兴趣
微软的Build Dev Con销售1分钟
Microsoft将Mac Testers添加到其Office Insider预览中
在Google推出本地版之后,巴基斯坦解除了YouTube
松下推出用于航空公司的座位移动支付
这是完美的办公室工作流程吗?
四分之一的银行将使用初创公司来替换遗产
DNB在挪威关闭59个分支,因为在线银行占主导地位
Apple表示,它有助于创造超过一百万的欧洲工作
本季度英特尔最大的买的第一个果实
HCC欧洲:开放标准,混合和集成是云服务的关键
难以使用它将压力和心率推向危险水平
Hyatt Hackers从250个地点抓住信用卡号码
Air France-KLM更新WAN以提高新兴市场的连接
英特尔填充需要速度的速度与新的Skylake,Xeon Chips
CW500:如何使数字转型取得成功
提供学徒的雇主应该传播这个词
rbs关闭Natwest分支并随着客户上网而削减600个工作岗位
Chromebook是Windows PC的虹吸市场份额
欧洲专员说,大数据也是一个反托拉斯问题
您的位置:首页 >政策法规 >

网络罪犯在赎金软件攻击中使用Microsoft PowerShell

2021-06-12 15:44:02 [来源]:

网络犯罪分子正在使用Microsoft的PowerShell脚本语言进行系统管理的奖励制造医疗机构和其他企业的攻击。

当医疗组织通过网络钓鱼电子邮件活动失败时,由安全公司炭黑的研究人员发现了赎金书。

新发现的Ransomware系列 - 研究人员的加强软件 - 通过启用宏的Microsoft Word文档,例如假发票。

这种方法使用PowerShell检索和执行恶意代码表示赎金软件可以避免将新文件写入磁盘并与合法活动混合,使得检测更难。

传统的赎金软件变体通常在系统上安装恶意文件,在某些情况下,可以更容易地检测。

研究人员表示,虽然代码很简单,因此PowerWare是一种新的赎制软件方法,反映了恶意软件作者在交付赎金软件的盒子外思考的日益增长的趋势。

炭黑研究人员发现,通过启用宏的Microsoft Word文档提供了PowerWare,该文档推出了两个PowerShell的实例。

一个实例下载了ransomware脚本,另一个实例将脚本作为输入,以运行恶意代码以加密目标系统上的文件并要求释放它们的需求付款。

在一个有趣的扭曲中,PowerWare最初要求500美元的赎金,但如果在两周后赎金不支付赎金,这增加到1000美元。

根据2016年3月22日发布的McAfee Labs威胁报告,赎金软件越来越受到网络犯罪分子,以赚钱的方式赚钱,在2015年上次与上一季度的比较了26%。

炭黑研究人员表示,为完整数据包捕获的系统提供系统的组织应该能够恢复加密密钥。

研究人员发现,当PowerWare调用其控件和命令服务器时,它通过纯文本协议执行,使流量很容易观察到。

研究人员表示,组织简单地识别来自网络流量的正确域和知识产权信息,以检索加密密钥。

Carbon Black Enterprise Protection用户可以通过启动PowerShell的Word阻止初始CMD.exe,其中包含通过Winword.exe启动时阻止CMD.exe的规则。

他们建议以类似的方式涵盖其他Microsoft Office应用程序 - 例如Excel和PowerPoint - 以及为浏览器设置规则来阻止这些应用程序运行PowerShell。

安全专家andsans Instringeinstructoreds Skoudis警告了2016年旧金山的RSA会议,在过去的一年里,Powershellhas被全面武器。

根据安全公司InfoArmor的首席情报官Andrew Komarov的说法,PowerShell不仅在赎金软件中使用,但在许多与Cyber​​间谍活动相关的恶意软件样本中。

“它提供了非常灵活的功能来与受害者的操作系统合作,并且许多不良演员由于可能的混淆和多态性的高水平而使用基于脚本的场景,以便绕过基于Windows环境的安全控制,”他说

Security公司普拉德列特产品副总裁Brian Laing表示,很少有用户需要在他们的办公文件中使用宏。

“用户应该始终禁用宏,或者更好地,没有使用宏打开文件,除非它们是100%的文件,文件不是恶意的。如果他们收到宏的文件并且不确定,他们应该联系他们的IT部门来调查该文件。家庭用户应该只是删除文件并继续前进,“他说。

托管安全服务提供商ProfiCio总裁蒂姆McElWee表示,企业应该加强对网络钓鱼攻击,禁用宏并备份其系统的警惕。

“这可以在内部或通过管理的安全服务提供商来完成工业强度安全,”他说。

下一步

频繁的数据备份可以帮助您从勒索软件恢复

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。