绝大多数PowerShell脚本是恶意脚本,这种隐藏技术

作者: mgm娱乐网址  发布:2019-12-21

意大利研究人员在预印本网站发表报告,提出了一种新的代码混淆技术,可被用于成功发动偷渡式下载攻击,欺骗恶意程序检测系统。新的混淆技术是基于HTML5,利用了多个基于JavaScript的 HTML5 API。研究人员称,恶意程序混淆代码储存在服务器端,一旦受害者访问恶意网页,恶意程序将会下载、重新组装和启动。他们的研究目的是鼓励安全公司开发出应对此类攻击的反制方法。来自:Solidot

mgm平台,扩展阅读:一张图片黑掉你:在图片中嵌入恶意程序

研究人员还提到,在今年观察的10797个PowerShell脚本中——也包括那些没有恶意的脚本,55%的脚本是以cmd.exe开始执行的。如果只考虑恶意脚本,95%都是通过cmd.exe执行。不过,绝大部分宏downloader还没运行就已经被系统禁止了,所以都并不需要赛门铁克的行为引擎分析。

躲避方法1:

对很多IT专业人士来说,Powershell的确是Windows系统中一个相当强大的工具,而且微软也有意将PowerShell作为Windows系统的默认命令行工具。但赛门铁克最近的一份报告指出,超过95%的PowerShell脚本实际上都是恶意脚本。

一旦主模块成功在内存中占据了一席之地,那情况就大不相同了。部署模块就会终止,恶意程序开始与C&C服务器通信,接受一些指令,比如显示系统详细信息、列出被感染系统上安装的程序、发送火狐、chrome、IE浏览器的历史记录、执行shell代码、停止执行程序、休眠等。

如何应对?

部署模块会列出系统当前运行的进程,一旦发现某些安全工具的硬编码字符,如Wireshark、Fiddler,它就不会在该系统上运行。如果没有发现任何的安全威胁,它才会与C&C服务器连接,加密通信,下载含有恶意程序的PNG文件。

赛门铁克在报告(传送门)中指出,绝大部分恶意PowerShell脚本都是扮演下载的角色。当然PowerShell脚本的终极目标还是要在设备上执行恶意代码,在整个网络传播恶意软件。

主模块功能

基本代码混淆

在部署其他的模块之前,该恶意程序会检查它不是处在(杀毒软件的)调试环境中。例如,部署一个模块监视鼠标光标的移动情况,如果鼠标不停的变换位置或者永远不变换位置,就说明当前环境有“猫腻”,恶意程序会立即终止所有恶意行为。

研究人员表示,他们观察到目前比较流行的,正在使用PowerShell、三个最常见的恶意软件,分别是W97M.Downloader(在分析样本当中占比9.4%),Trojan.Kotver(占比4.5%)和JS.Downloader(占比4.0%)。

戴尔安全研究员指出,Stegoloader攻击首先会以一个部署模块开始,然后再在受感染的设备上下载、发布程序的主模块。

绝大多数PowerShell脚本是恶意脚本

下载并执行远程文件的简单脚本程序示例

mgm平台 1

我们接收到的样本数量在2016年急剧增长。赛门铁克在第二季度收到的样本数量是第一季度的14倍,而第三季度更是第二季度的22倍。

本文由mgm娱乐网址发布于mgm娱乐网址,转载请注明出处:绝大多数PowerShell脚本是恶意脚本,这种隐藏技术

关键词: