无用的攻击浪涌作为黑客爆炸权力掌握脚本
来自McafeEnoted的最新季度威胁报告,使用Microsoft PowerShellScripts的无纺布黑客攻击中的四倍增加。
PowerShell主要用于自动执行管理任务,例如运行后台命令,检查系统上安装的服务,终止进程和管理系统和服务器的配置。
McAfee警告说,但攻击者将PowerShell ScriptingLanguage用作强大的灵活的工具,用于执行恶意攻击。
McAfee Labs在2017年第四季度看到Powershell Malware在2017年第四季度增长了267%,而威胁类别越来越成为网络罪犯的转向工具箱。
McAfee表示,脚本语言已经变得不可抗拒,攻击者在Microsoft Office文件中使用它来执行第一阶段的攻击阶段。
2017年12月,揭露了针对2018年冬季奥运会的恶意软件运动,运营金龙。McAfee将该活动描述为“攻击中PowerShell恶意软件的示例性实现”。
在其Protement季度恶意软件报告中,2017年9月,McAfee警告说:“在PowerShell的帮助下,我们已经看到了Funless Malware的执行。Bartallex使用.bat和.vbs文件的组合来下载其有效载荷。Dridex使用PowerShell来帮助下载并执行其有效载荷。在2017年初,攻击者使用PowerShell来定位Mac。“
脚本语言提供具有与基于文件恶意软件相同的攻击者。根据迈克菲的说法,逃避可能是这种攻击策略普及的关键原因。脚本很容易混淆,因此难以检测。
麦克菲省首席技术官Steve Grobman说:“通过我们世界上的许多其他东西进行数字,犯罪变得更容易执行,比以往任何时候都更容易执行,更少的风险和更有利可图。”“看到专注于隐秘,无光水的攻击,低风险航线应该毫不奇怪,通过加密货币挖掘,以及攻击医院等软目标的攻击。”
在9月份的报告中,McAfee指出,PowerShell可以以多种方式混淆,包括命令快捷方式,转义字符或编码函数。直接从内存运行的效率使它隐蔽且难以检测。
如何防止PowerShell攻击
Adrian Davis来自ISC²Sookat,最重要的是,确保商业计算机受到保护免于无用恶意软件的影响。为了防范无纺丝攻击,有管理员凭据的用户应该接受关于行政安全和最佳实践的具体指导,称为ISF的Emma Bickerstaffe。它说PowerShell恶意软件通常通过垃圾邮件到达。邮件中的嵌入式代码包含PowerShell代码,通常包含下载其他有效载荷来执行主要恶意活动的指令。
McAfee敦促IT管理员措施,以防止用户运行Rogue脚本。
“阻止计算机上任何类型恶意软件感染的最大因素是用户。用户需要了解下载和安装他们不理解或信任的应用程序的风险。报告说:恶意软件也可以通过不知道的用户无意中下载不知不觉的用户。“
用户培训是信息安全论坛(ISF)的高级研究分析师Emma Bickersafe,最近在她的计算机每周文章中覆盖了挫败挫败的攻击,她指出:“一些交付向量利用某种形式的社会工程。这加强了组织需要培训用户如何识别和抵制社会工程策略。“
攻击者还可以在交互式模式下使用PowerShell执行恶意命令。最近的一台计算机每周文章涵盖无纺丝攻击,例如可通过PowerShell,Adrian Davis,ISC²所长的那些,警告:“因为没有写入硬盘驱动器,标准的安全控制 - 例如基于签名的防病毒 - 呈现更多,或完全,无效。”
McAfee推荐IT部门确保操作系统和浏览器与最新的安全修补程序保持最新。它还敦促IT部门将End-Malware升级到最新版本的端点和网络网关。
鉴于它是IT管理工具,ISC2的Davis表示PowerShell脚本被视为合法代码。除了迈克菲的建议之外,他说:“看看行为措施 - 例如,跟踪超级用户的活动 - 并寻找新的或奇怪的模式。如果用户 - 或superuser-突然开始接入系统或在一天或在组织的不同部门奇数倍的数据库,这可能是一个妥协的指标;然后,该组织应启动其事件响应/管理流程来抵消它。“