在本周 McAfee 发布了一份最新的安全研究报告,在报告中,McAfee 表示,与 2016 年同期相比,2017 年第四季度利用 PowerShell 的无文件恶意软件样本增长了 2.67 倍。McAfee 在 2017 年观察到的 PowerShell 恶意软件样本总数比 2016 年的数量整整高出了 4.32 倍。
McAfee 表示,这种脚本语言对于在 Microsoft Office 文件中广泛使用它的攻击者来说是不可抗拒的,通常用于执行大面积攻击的初始阶段。
McAfee 指出,针对平昌冬季奥运会的 " 金龙行动(Golden Dragon)" 就是一个涉及 PowerShell 恶意软件攻击的特别有代表的例子。在该攻击活动中,攻击者通过植入 PowerShell 与远程服务器建立加密通信通道来发送被感染的系统信息。
在 2017 年使用 PowerShell 进行传播的最流行的脚本恶意软件系列包括 W97/Downloader、Kovter 木马、Nemucod 木马等,其中 Kovter 木马由于是一个无文件类型的恶意软件,比较难于发现,该木马 Kovter 还被攻击者用于窃取个人信息,同时下载并执行其他恶意的 payload。
带有 PowerShell 的恶意软件利用脚本工具的合法功能执行恶意活动,这就需要安全管理员使用 PowerShell 自动执行重复任务,以识别和终止恶意进程,检查在系统上运行的恶意服务以及其他任务。
PowerShell 为什么会成为黑客的新宠?
PowerShell 之所以受到攻击者的欢迎,是因为它给攻击提供了一种隐藏恶意活动的方法。PowerShell 在系统内存中运行的能力使攻击者能够在不需要在系统上安装恶意软件的情况下运行恶意代码,从而使其难以被检测。早在两年前,像安全公司 Carbon Black 就发布过一份报告,预测未来 PowerShell 恶意软件的使用将会急剧增加,特别是在执行命令和控制通信以及隐藏大规模感染活动时。另外,涉及 PowerShell 恶意软件的其他恶意活动还包括凭证盗窃和权限升级。
不出 Carbon Black 所料,2017 年其他类型的恶意活动也出现了激增。例如,盗窃加密货币成为个人和企业的主要威胁,尤其是去年第四季度。针对 Mac OS 的恶意软件在 2017 年也出现大幅增长,与 2016 年同期相比,2017 年第四季度增长了 2.4 倍,总数比 2016 年的数量整整高出了 2.43 倍。
除了与加密货币有关的恶意软件外,勒索软件的数量也在快速增长,虽然比以前的增长速度慢了,但根据 McAfee 的分析,与 2016 年相比,2017 年勒索软件样本增加了 5.9 倍。其中最厉害的莫过于 NotPetya。NotPetya 是源自类似 Petya 的全新形式勒索病毒,可以将硬盘整个加密和锁死,从内存或者本地文件系统里提取密码,NotPetya 是利用永恒之蓝漏洞(EternalBlue ) 进行传播的。
医疗行业在 2017 年也成为受恶意软件攻击最严重的行业,去年该行业披露的安全事件比 2016 年增加了 2.11 倍,这表明攻击者以将医疗行业是为一个高价值的目标,且是容易得手的目标。据 McAfee 介绍,许多事件都是源于医疗机构未能解决已知的医疗软件漏洞以及未执行正确的安全操作而导致的。 |
