传播恶意软件最有效帮手:超95%的PowerShell脚本都是恶意脚本

by admin on 2020年4月22日

微软为Windows
10推出的PowerShell是一个非常强大的工具,但是网络犯罪分子也越来越多地使用它来传播恶意软件。安全公司赛门铁克分析了恶意PowerShell脚本,并表示这种威胁的数量正在快速上升,特别是在shell框架被企业更广泛使用的情况下。赛门铁克表示,包括Office宏在内,大多数恶意PowerShell脚本被用作下载恶意软件的工具,最终目标是在目标电脑上执行代码,然后在整个网络中传播恶意软件。

基于浏览器的网络威胁已成为当今网络安全专业人士面临的最大问题之一。对于组织来说,对这些难以检测的攻击实施有效保护至关重要。

根据赛门铁克表示,目前有三个常见的恶意软件系列正在使用PowerShell脚本,分别是W97M.Downloader(在分析样本当中占比9.4%),Trojan.Kotver(占比4.5%)和JS.Downloader(占比4.0%)。在过去六个月中,赛门铁克每天平均拦截了466028封含有恶意JavaScript的电子邮件,而且这种趋势在增长。并不是所有恶意JavaScript文件都使用PowerShell下载文件,但赛门铁克已经看到了PowerShell框架的使用情况稳步增加。

对很多IT专业人士来说,Powershell的确是Windows系统中一个相当强大的工具,而且微软也有意将PowerShell作为Windows系统的默认命令行工具。但赛门铁克最近的一份报告指出,超过95%的PowerShell脚本实际上都是恶意脚本。

在所有使用的软件中,浏览器暴露最多。他们不断与外界联系,并经常与网络犯罪分子感染恶意软件的网站和应用程序进行交互。浏览器是功能强大,数据丰富的工具,如果受到攻击,可以为攻击者提供大量有关您的信息,包括您的个人地址,电话号码,信用卡数据,电子邮件,ID,密码,浏览历史记录,书签等。

网络犯罪分子还创建了更复杂的PowerShell脚本,它们分阶段工作,因此它们实际上链接到最终会部署恶意软件的不同脚本,而不是直接危及目标电脑。这有助于绕过某些安全解决方案和保护应用程序,但在某些情况下,可以开发脚本来卸载这些安全解决方案或窃取网络中使用的密码。

赛门铁克在报告(传送门)中指出,绝大部分恶意PowerShell脚本都是扮演下载的角色。当然PowerShell脚本的终极目标还是要在设备上执行恶意代码,在整个网络传播恶意软件。

澳门新葡亰信誉平台游戏 1

防止此类威胁的最佳方法是运行完全最新的安全软件以及最新版本的PowerShell。此外,由于大多数脚本通过电子邮件传递,因此请避免打开来自不受信任来源的脚本,文件或链接,这些脚本,文件或链接可能对用用户系统或网络构成风险。

澳门新葡亰信誉平台游戏 2

浏览器也是网络犯罪分子在您的设备,个人网络和业务系统上建立立足点的理想工具。浏览器依赖于许多第三方插件(如JavaScript,Flash和ActiveX)来执行各种任务。但是,这些插件通常带有安全漏洞,网络犯罪分子利用这些漏洞来访问您的系统。这些漏洞允许攻击者通过安装勒索软件,泄露数据和窃取知识产权等方式造成严重破坏。

澳门新葡亰信誉平台游戏 3

澳门新葡亰信誉平台游戏 ,绝大多数PowerShell脚本是恶意脚本

在过去一年左右的时间里,我们看到网络威胁急剧增加,专门用于利用基于浏览器的漏洞。这种受欢迎程度的提高不仅因为浏览器在战略上是理想的黑客攻击目标,而且因为很难检测到基于浏览器的Web威胁。大多数恶意软件检测和防护技术通过检查下载或附件等文件来工作。但是,基于浏览器的威胁不一定使用文件,因此传统的安全控制无需分析。除非组织实施不依赖于分析文件的高级工具,否则基于浏览器的攻击可能不会被发现。

稿源:cnBeta.COM

由于PowerShell框架极具灵活性,攻击者可以滥用它来下载恶意payload、进行恶意侦查、或者是遍历网络。赛门铁克分析,95.4%的PowerShell脚本为恶意脚本,这个结果表明来自外部的PowerShell脚本程序对企业构成了重大威胁,尤其是在使用shell
框架的企业中。

鉴于基于浏览器的攻击功能强大且难以发现,因此很容易理解为什么它们变得如此突出。他们只是工作。

澳门新葡亰信誉平台游戏 4

基于浏览器的网络威胁如何运作

下载并执行远程文件的简单脚本程序示例

作为基于浏览器的攻击如何工作的示例,请考虑一个Windows用户访问看似良性但现在是恶意网站的情况,可能是他或她之前访问过的网站,或者是诱人电子邮件的结果。一旦发生连接,用户的浏览器就开始与站点进行交互。假设系统使用的是JavaScript,根据像Web
Technology
Surveys这样的研究公司,94%的网站都有,而且超过90%的浏览器都启用了它,浏览器会立即从恶意网站下载并开始执行JavaScript文件。

如今的很多针对性攻击均使用了Powershell脚本,无论是Odinaff集团发起的攻击还是Kovter
Trojan木马作者编写的脚本(都是采用PowerShell)。PowerShell脚本甚至不需要以文件为载体就能感染目标,因此越来越多银行木马和其他类型的威胁都选择了PowerShell。

该JavaScript可以包含恶意代码这是能够捕获受害者的数据,改变它,并注入新的或者不同的数据到他们的Web应用程序,所有的背景和对用户不可见。例如,恶意软件作者用于实现此目的的一种方法是在JavaScript中嵌入混淆的Adobe
Flash文件。Flash经常被使用,因为它看似永无止境的漏洞。以下是典型情况的代表:

比如最近有款名为“August”的恶意程序就采用PowerShell进行感染,而且并没有以文件为载体(传送门):在这次攻击中,恶意脚本企图窃取身份凭证和敏感文件。它通过包含恶意宏的word文档进行传播,一旦打开文档,Powershell命令行就会启动,然后下载并安装最终的payload。

Flash代码调用PowerShell,这是一个功能强大的OS工具,可以执行管理操作并存在于每台Windows机器上。

赛门铁克在例证中特别提到了Nemucod
downloader——如果你对Locky勒索软件熟的话,应该也很清楚Nemucod用的就是PowerShell。不过实际上,报告中一直在强调,最常与PowerShell匹配的还是Office宏;另外各种Exploit
Kits漏洞利用工具也经常采用PowerShell,比如说相当知名的RIG、Neutrino、Magnitude和Sundown。

Flash通过其命令行界面向PowerShell提供指令。

恶意PowerShell脚本的一些数据

PowerShell连接到攻击者拥有的隐藏命令和控制服务器。

我们接收到的样本数量在2016年急剧增长。赛门铁克在第二季度收到的样本数量是第一季度的14倍,而第三季度更是第二季度的22倍。

命令和控制服务器将恶意PowerShell脚本下载到受害者的设备,该设备捕获或查找敏感数据并将其发送回攻击者。

澳门新葡亰信誉平台游戏 5

在攻击者达到目标后,JavaScript,Flash和PowerShell脚本将从内存中删除,基本上没有任何违规记录。

基本代码混淆

打击基于浏览器的网络威胁

赛门铁克的这份报告对大量样本进行了观察分析。这些数据均来自赛门铁克恶意软件分析沙盒(Symantec
Blue
Coat)。在这个沙盒中,仅今年就有49127例PowerShell脚本提交。而且,安全研究员还手动分析了4782例不同的样本,发现其中的111个恶意软件系列存在滥用PowerShell命令行的情况。而在这111例中,仅有8%的恶意软件使用了如大小写混合字母之类的混淆技术;没有脚本会对命令参数做随机化之类的混淆。

大多数恶意软件检测系统通过验证链接的信誉或安全性以及评估已知威胁的附件和下载等文件来工作。在此处描述的基于浏览器的攻击中,安全系统可能没有任何要分析的链接或文件,因此传统的反恶意软件技术通常无效。尽管如此,仍有一些方法可以抵御基于浏览器的攻击。即使没有文件,最新和最先进的恶意软件检测技术也可以评估JavaScript和Flash数据。这些创新工具从设备的内存中提取JavaScript和Flash内容,并检查静态和动态异常,例如:

研究人员表示,他们观察到目前比较流行的,正在使用PowerShell、三个最常见的恶意软件,分别是W97M.Downloader(在分析样本当中占比9.4%),Trojan.Kotver(占比4.5%)和JS.Downloader(占比4.0%)。

静态 – 结构异常

分析样本中,最常用的PowerShell命令行参数是“NOPROFILE”(占比34%),“WindowsStyle”(占比24%)和“ExecutionPolicy”(占比23%)。

数组或字符串中存在不寻常的shellcode

澳门新葡亰信誉平台游戏 6

缺少或添加细分

研究人员还提到,在今年观察的10797个PowerShell脚本中——也包括那些没有恶意的脚本,55%的脚本是以cmd.exe开始执行的。如果只考虑恶意脚本,95%都是通过cmd.exe执行。不过,绝大部分宏downloader还没运行就已经被系统禁止了,所以都并不需要赛门铁克的行为引擎分析。

嵌入文件

针对已经被攻陷的网络,攻击者采用的PowerShell手法注入Invoke-Command、Enter-PSSession、WMI/wmic/Invoke-WMImethod、Task
Scheduler,还有PsExe这样一般的工具。而且为了能够保证存在的持久性,PowerShell也会安排任务、替换启动文件夹中的脚本、采用组策略或者WMI、感染本地配置文件,在注册表中存储脚本(如2014年的Trojan.Poweliks)等。

可疑的函数参数

除此之外,赛门铁克的这份报告还详细谈到了黑客针对PowerShell脚本的混淆技术;列出了不少PowerShell恶意程序的相关信息,包括勒索软件,键盘记录器,以及银行和后门木马。有兴趣的可点击这里下载查看完整报告。

代码注入的证据,如隐藏的iframe或异常标记

如何应对?

代码混淆的迹象,例如编码,或特定的JavaScript函数,如加密或指纹识别

防御此类威胁的最好方法是运行最新版本的安全软件以及Powershell。另外,恶意脚本大都是通过电子邮件传播,因此最好是不要打开来自不信任源的脚本、文件或者是链接。

利用的迹象 – 结构相似性,签名

公司内部的IT专业人士需要对企业内部应用对PowerShell的调用进行更加严密的监控,记录PowerShell的活动并通过分析日志来发现异常行为,创建规则,以便在发生异常行为时能够报警。

动态 – 行为异常

另外,我们也应该(尤其是安全人士)经常审视PowerShell的命令行,通常合法脚本的内容和目的都很直观,而攻击脚本通常都使用Base64加密命令行,并且经常把各种脚本团塞在一行内,出现这种情况时,我们一眼就能看出端倪。

异常进程行为 –
代码可能不会丢弃文件但可能会导致网络连接异常,或者尝试启动异常进程

【编辑推荐】

堆喷涂 – 通过利用浏览器漏洞将代码插入预定位置

尝试修改系统文件或组件

与已知恶意站点或命令和控制中心的连接

逃避战术如拖延

虽然通过分析组织员工遇到的每一点JavaScript和Flash内容,当然可以查找上面列出的所有可能的异常,但这是不切实际的。对每个实例进行全面测试至少需要一定程度的行为分析,这可能需要60秒或更长时间。鉴于典型公司的员工每天都会遇到大量的JavaScript和Flash,因此对所有员工进行全面的行为分析是不可行的。幸运的是,我们没有。

过滤方法可以评估基于浏览器的威胁

良好的恶意软件检测引擎可以分阶段评估代码,而不是让每个JavaScript实例都进行完整的静态和动态分析。在初始阶段,引擎仅执行静态分析,不需要执行代码。由于恶意软件检测系统可以实时执行此操作,因此可以在此级别评估所有JavaScript和Flash内容。成功通过此过滤器的代码,大部分将在正常操作期间执行,无需进行其他测试。

在恶意软件检测引擎在初始静态分析阶段遇到异常的情况下,它可以更密切地检查代码。最严格和耗时的测试只需要在以前所有测试都表明存在大量恶意软件风险的罕见情况下进行。例如,静态分析可能会识别可能是恶意的功能,例如数据加密。可以加密数据的代码可能是勒索软件。在这种情况下,系统还将执行动态分析,以确定代码是否确实是恶意行为,或者是否以良性和适当的方式使用加密功能。

静态分析可以有效地检测各种异常,例如异常宏,丢失或添加的结构或段,与网络犯罪分子使用的命令和控制服务器的对应等等。其中一些功能非常表明恶意,系统可以立即将对象评为高风险。如果有任何疑问,系统还会执行动态分析来测试代码执行时实际执行的操作。

如果静态分析没有发现任何可疑之处,系统可以以高准确率将对象评分为低风险并绕过动态分析。

通过使用这种分阶段的方法,系统可以完全测试所有可疑对象,从根本上消除误报。结合仅在必要时执行动态分析所获得的效率,测试所有JavaScript和Flash文件是否存在恶意软件变得可行。

恶意软件不断发展,我们必须这样做

网络犯罪分子一直在努力寻找新的更有效的方式来渗透我们的计算机,设备和网络。基于浏览器的网络威胁最近的演变是一个难以检测和有效的恶意新技术的尖锐例子。

由于传统的反恶意软件产品几乎不可能有效地评估所有JavaScript和类似的基于浏览器的对象,因此企业通常容易受到这些新威胁的攻击。为了有效地保护自己,组织还必须不断发展并不断升级其威胁防御工具,以应对恶意软件的最新变化。一种方法是实现过滤方法,实时评估所有代码,并使用完整的动态分析测试可疑代码。

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图