最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

黑客使用新的隐形PowerShell后门来攻击60多名受害者

网络安全 快米云 来源:快米云 18浏览

黑客

攻击者正在积极使用先前未检测到且未记录的 PowerShell 后门,该攻击者针对至少 69 个实体。

基于其特征,该恶意软件专为网络间谍活动而设计,主要从事从受感染系统中泄露数据的活动。

首次检测到 PowerShell 后门时,VirusTotal 扫描服务上的任何供应商都没有将其视为恶意。

然而,由于黑客的操作错误,它的掩护被揭穿,允许 SafeBreach 分析师 访问和解密攻击者发送的命令,以便在受感染的设备上执行。

从求职申请到 PowerShell 后门

攻击始于一封带有名为“Apply Form.docm”的恶意文档的网络钓鱼电子邮件。根据文件内容和元数据,它可能以基于 LinkedIn 的工作申请为主题。

诱饵文件
包含宏的文档诱饵 (SafeBreach)

该文档包含恶意宏,这些宏会丢弃并执行“updater.vbs”脚本,该脚本创建计划任务以模拟例行 Windows 更新。 

VBS 脚本然后执行两个 PowerShell 脚本,“Script.ps1”和“Temp.ps1”,这两个脚本都以模糊的形式存储在恶意文档中。

当 SafeBreach 首次发现这些脚本时,VirusTotal 上的防病毒供应商均未将 PowerShell 脚本检测为恶意脚本。

VirusTotal 在两个脚本上返回干净扫描
VirusTotal 在两个脚本上返回干净扫描 (SafeBreach)

“Script.ps1”连接到攻击者的命令和控制服务器 (C2),向操作员发送受害者 ID,然后等待以 AES-256 CBC 加密形式接收的命令。

根据 ID 计数,SafeBreach 分析师得出结论,威胁参与者的 C2 在他们之前记录了 69 个 ID,这可能是被破坏计算机的大致数量。

“Temp.ps1”脚本解码响应中的命令,执行它,然后加密并通过 POST 请求将结果上传到 C2。

SafeBreach 利用可预测的受害者 ID 并创建了一个脚本,可以解密发送给每个受害者的命令。

分析人员发现,三分之二的命令用于泄露数据,其他命令用于用户枚举、文件列表、文件和帐户的删除以及 RDP 客户端枚举。

从 C2 作为命令发送的脚本以查询管理员用户
从 C2 作为命令发送的脚本,用于查询域控制器的管理员用户 (SafeBreach)

未知的隐秘威胁

这个 PowerShell 后门是用于攻击政府、企业和私人用户系统的未知隐秘威胁的典型示例。

防御者不仅需要了解已知或新出现的威胁,还需要考虑可能能够绕过安全措施和反病毒扫描的未知向量。

虽然一些 AV 引擎可以启发式地检测 PowerShell 脚本中的恶意行为,但威胁参与者不断改进其代码以绕过这些检测。

实现这一目标的最佳方法是尽快应用安全更新,限制对端点的远程访问,遵循最小权限原则,并定期监控网络流量。

22 年 10 月 21 日更新:我们之前将脚本称为“不可检测”,而我们应该使用未检测到的脚本。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 黑客使用新的隐形PowerShell后门来攻击60多名受害者