全能型惡意攻擊出現(xiàn) 利用宏和PowerShell攻擊金融交易系統(tǒng)

責(zé)任編輯:editor005

作者:Venvoo

2016-03-16 14:57:15

摘自:安全牛

研究人員警告稱,攻擊者正使用嵌入惡意宏的 Word 文檔和 PowerShell,用非硬盤駐留型惡意軟件感染計(jì)算機(jī)。SANS 研究所資深講師馬克·巴吉特(Mark Baggett)在博文中寫道

研究人員警告稱,攻擊者正使用嵌入惡意宏的 Word 文檔和 PowerShell,用非硬盤駐留型惡意軟件感染計(jì)算機(jī)。

帶有惡意宏的 Word 騷擾文檔在過去幾個(gè)月內(nèi)成為了感染計(jì)算機(jī)的主流手段之一。如今攻擊者更進(jìn)一步,使用此類文檔傳輸非硬盤駐留型(Fileless)惡意軟件。這種惡意軟件沒有文件實(shí)體,可以直接加載到受害計(jì)算機(jī)的內(nèi)存中。

安全研究人員分析了近期發(fā)生的一次攻擊事件。事件中,攻擊者向美國、加拿大和歐洲的企業(yè)電子郵件地址發(fā)送惡意 Word 騷擾文件。他們發(fā)送的郵件帶有收件人的名字以及公司的詳細(xì)信息,這在廣于撒網(wǎng)的騷擾攻擊活動(dòng)中并不多見。研究人員認(rèn)為,郵件內(nèi)容中帶有詳細(xì)信息更有可能引誘受害者打開附件。

如果受害者打開郵件附件并允許宏,惡意軟件將用特定的命令行參數(shù)秘密執(zhí)行 powershell.exe 的一個(gè)實(shí)例。 Windows PowerShell 是一種任務(wù)自動(dòng)化及配置管理框架,Windows 默認(rèn)帶有該軟件,它還有自己的腳本語言。

這種攻擊中執(zhí)行的 PowerShell 命令被用于檢查 Windows 系統(tǒng)是32位還是64位的,并相應(yīng)下載額外的 PowerShell 腳本。

惡意腳本會(huì)對計(jì)算機(jī)進(jìn)行一系列檢查。首先,它試圖確定運(yùn)行環(huán)境是否為虛擬機(jī)或沙盒,就像惡意軟件分析師使用的那些一樣;之后,它掃描網(wǎng)絡(luò)配置文件,尋找學(xué)校、醫(yī)院、大學(xué)、醫(yī)療、護(hù)士等字段;它還會(huì)掃描網(wǎng)絡(luò)上的其它計(jì)算機(jī),尋找老師、學(xué)生、校董會(huì)、兒科、整形外科、POS、賣場、商店、銷售等字段; 它還會(huì)掃描受害計(jì)算機(jī)上緩存的 URL ,尋找金融網(wǎng)站,以及 Citrix 、XenApp 等字段。

Palo Alto 研究人員表示,這類檢查的目標(biāo)在于,尋找用于金融轉(zhuǎn)賬的系統(tǒng),并避開屬于安全研究人員、醫(yī)療和教育機(jī)構(gòu)的系統(tǒng)。只有滿足攻擊者篩選要求的系統(tǒng)才會(huì)被標(biāo)記并向幕后控制服務(wù)器上報(bào)。

惡意腳本會(huì)在這些系統(tǒng)上下載加密的惡意 DLL 文件,并將其加載入內(nèi)存。Palo Alto 公司研究人員在發(fā)表的一篇博文中稱,“騷擾郵件的內(nèi)容相當(dāng)詳細(xì),還使用了內(nèi)存駐留型惡意軟件,我們認(rèn)為這種攻擊應(yīng)當(dāng)被視為高級(jí)別威脅。”

來自 SANS 研究所互聯(lián)網(wǎng)風(fēng)暴中心(Internet Storm Center)的研究人員上周也觀測到一種與此類似的攻擊活動(dòng),過程中結(jié)合了 PowerShell 和非硬盤駐留型惡意軟件。

這種惡意軟件會(huì)創(chuàng)建一個(gè)注冊表鍵,在每次系統(tǒng)啟動(dòng)時(shí)運(yùn)行隱藏的 PowerShell 實(shí)例。 PowerShell 命令將運(yùn)行存儲(chǔ)在另外的注冊表鍵zho編碼過的腳本。這種處理方式可以在不向硬盤寫入的前提下將可執(zhí)行文件解密并直接加載入內(nèi)存。

SANS 研究所資深講師馬克·巴吉特(Mark Baggett)在博文中寫道:“通過使用 PowerShell ,攻擊者能夠?qū)⒖赡茉谟脖P上被檢測到的惡意軟件放進(jìn) Windows 注冊表中。”

將惡意軟件存儲(chǔ)在注冊表中、 通過濫用 Windows PowerShell將惡意宏加到文檔上都并不是新技術(shù)。然而,兩者的結(jié)合可能制造強(qiáng)有力且很難發(fā)現(xiàn)的攻擊。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)