Infosec的专业人员每天大部分时间都在处理互联网上的常见威胁。另一方面,攻击者花时间寻找新的方法来避免被发现。最新版本是无文件恶意软件,旨在逃避沙盒防御和寻找签名。
趋势科技发现了这种新威胁的一个示例。虽然本身影响不大,但却是对未来的警示。
安全供应商将此称为特定的trojanJS_POWMET。从攻击开始,——trend Micro就怀疑该特洛伊木马是由访问恶意网站的用户下载的,或者是由其他恶意软件丢弃的文件下载的。3354这添加了一个自动启动注册表项。这将从命令和控制服务器获得inJS_POWMET。注册表更改允许在不将XML文件保存在计算机上的情况下执行任意脚本。
执行完JS_POWMET后,它会下载另一个文件TROJ_PSINJECT,这是一个在Powershell进程下运行的Powershell脚本。TROJ_PSINJECT将连接到一个网站,并下载一个名为favicon的通用文件。然后使用ReflectivePELoader对文件进行解密,并将其注入到其进程中。ReflectivePELoader用于注入EXE/DLL文件。
(趋势科技图形)
许多例程最终被恶意软件使用PowerShell命令执行。此外,恶意软件还会收集系统信息,包括管理员权限、根卷序列号、操作系统版本和IP地址。但趋势科技警告称,JS _ POWMETauthors很容易添加更多恶意软件。
“知己知彼”是适用于网络安全的座右铭。攻击的归属可以帮助防御者保护…
CISOs不应该担心维基解密的最新指控,即中情局有能力破解几乎任何东西—— …
趋势科技表示,减少无文件恶意软件的更有效方法是通过基于容器的系统限制对关键基础架构的访问,该系统将端点与网络最重要的部分分开。对于这种特定的恶意软件,看看禁用Powershell本身,如果很明显,其他Windows组件不需要它。