Jump to content
  • Hello visitors, welcome to the Hacker World Forum!

    Red Team 1949  (formerly CHT Attack and Defense Team) In this rapidly changing Internet era, we maintain our original intention and create the best community to jointly exchange network technologies. You can obtain hacker attack and defense skills and knowledge in the forum, or you can join our Telegram communication group to discuss and communicate in real time. All kinds of advertisements are prohibited in the forum. Please register as a registered user to check our usage and privacy policy. Thank you for your cooperation.

    TheHackerWorld Official

专家警告隐匿 PowerShell 后门伪装成 Windows 更新

 Share


HACK1949

Recommended Posts

PowerShell 后门

有关以前未记录且完全无法检测 (FUD) 的 PowerShell 后门的详细信息已经出现,该后门通过将自己伪装成 Windows 更新过程的一部分来获得隐蔽性。

SafeBreach 的安全研究主管 Tomer Bar在一份新报告中表示: “秘密的自行开发工具和相关的 C2 命令似乎是一个复杂的、未知的威胁参与者的工作,该攻击者针对大约 100 名受害者。”

归因于一个未具名的威胁参与者,涉及该恶意软件的攻击链始于一份武器化的Microsoft Word 文档,据该公司称,该文档于 2022 年 8 月 25 日从约旦上传。

与诱饵文档相关的元数据表明,最初的入侵向量是基于 LinkedIn 的鱼叉式网络钓鱼攻击,最终导致通过一段嵌入式宏代码执行 PowerShell 脚本。

PowerShell 后门

PowerShell 脚本 ( Script1.ps1 ) 旨在连接到远程命令和控制 (C2) 服务器,并通过第二个 PowerShell 脚本 ( temp.ps1 ) 检索要在受感染计算机上启动的命令。

但是,参与者通过使用微不足道的增量标识符来唯一标识每个受害者(即 0、1、2 等)而犯的操作安全错误允许重构 C2 服务器发出的命令。

发布的一些值得注意的命令包括泄露正在运行的进程列表、枚举特定文件夹中的文件、启动 whoami 以及删除公共用户文件夹下的文件。

在撰写本文时,32 个安全供应商和 18 个反恶意软件引擎分别将诱饵文档和 PowerShell 脚本标记为恶意。

调查结果发布之际,微软已采取措施在 Office 应用程序中默认阻止 Excel 4.0(XLM 或 XL4)和 Visual Basic for Applications (VBA) 宏,促使威胁参与者转向替代交付方法

Link to post
Link to comment
Share on other sites

 Share

discussion group

discussion group

    You don't have permission to chat.
    • Recently Browsing   0 members

      • No registered users viewing this page.
    ×
    ×
    • Create New...