具有恶意宏的文档提供无线恶意软件
NHS 24 IT系统延迟到2017年12月
神经网络可用于制作一些野生艺术
苹果云未来:亚马逊,谷歌,微软生活在借来的时间?
Apple呼吁命令解锁iPhone,表示它将“违反宪法”
QuickBooks冲出自雇更新,因为战争正在开启
CIO采访:MiaForsäng,瑞典自治市Vara
用ARM的SDK尝试用手开发基本的VR应用程序
Techuk呼吁政府关闭大数据技能差距
戴尔将HPE击中了服务器出货量的顶部位置
通过部署重新编程芯片,Microsoft Preps Datentres Ai Revolution
GSMA说,人工智能推动移动创新
报告称,兰布斯沃版是网络罪犯的成熟商业模式
由于技能短缺,网络攻击恢复300%
Blenheim Palace它解决了与服务交易的监测挑战
VMware帮助企业管理AWS,Azure和Google Cloud部署
男人岛推出它和教育校园分享技术技能
Mizuho Bank Eyes BlockChain速度国际证券交易
VMware旨在使用跨云服务虚拟云
通用汽车与巡航自动化采集的自动驾驶汽车加速
历史上最无聊的苹果活动刚刚发生了
HP希望其3D打印机将推动“下一个工业革命”
Torbay和South Devon NHS推出综合护理记录
IT部门担心他们缺乏实施物联网的技能
信托问题扼杀数字经济增长,研究表明
CIO采访:Gary Steen,Talktalk首席技术官
Apple以多种方式在与FBI争夺数据加密方面,着名的密码师说
小组说,云安全流程需要成熟
薪水调查显示IT经理司令部大奖奖金
软件如何重塑汽车行业
Apple将首先赎回到Mac Users的赎金软件攻击
警察逮捕与圣人数据违规有关的女人
WheSeScape如何帮助Renold整合SAP
谷歌加入Facebook的Open Compute项目,提出机架设计
Hervana的云平台使深入学习更广泛地获得
伯明翰Uni牛肉支持网络自动化,虚拟化支持研究
浏览谷歌的俄罗斯俄勒冈州数据中心的虚拟之旅
Care.Data - 死亡还是活着?
安全供应商认为,受钓鱼者利用套件恶意的顶级网站
具有64位处理器,Wi-Fi可提供更快的覆盆子PI 3
新加坡的DBS银行向亚马逊云标志
微软和HPE将其重量放在介质圈后面
谷歌加入了Facebook的开放计算项目,并提交了48伏架设计
北欧Cio采访:LIV Fiksdahl,DNB
Microsoft将用户升级到Windows 10,无需正确
谷歌的alphago在韩国球员的第四场比赛中击败了第四场比赛
英特尔眼睛往返摩尔定的法律
SmartSheet推出生产力仪表板
谷歌修补了Android中的远程执行漏洞
Apple的较小的iPhone可能会从三星不成功的Galaxy Alpha中汲取课程
您的位置:首页 >科技 > 物联科技 >

具有恶意宏的文档提供无线恶意软件

2021-06-24 16:44:25 [来源]:

垃圾邮件与恶意宏的文字文件已成为过去几个月感染电脑的流行方法。攻击者现在通过使用这样的文档来提供一步一步,以便在计算机内存中直接加载加载的Filless Malwware。

Palo Alto Networks的安全研究人员分析了最近的攻击活动,将垃圾邮件推出了与恶意文档文件从美国,加拿大和欧洲的商业电子邮件地址推动。

电子邮件包含了收件人“名称以及有关他们工作的公司的具体信息,这不是广泛垃圾邮件广告系列的典型信息。研究人员表示,这种关注垃圾邮件更加可信地对垃圾邮件的信誉,使受害者更有可能打开附加文件。

包含宏的文档,如果允许运行,则执行具有特殊命令行参数的PowerShell.exe的隐藏实例。Windows PowerShell是一个任务自动化和配置管理框架,默认情况下包含在Windows中,并带有自己的脚本语言。

在这种情况下执行的PowerShell命令旨在检查Windows操作系统是否为32位或64位版本,并下载与OS体系结构相对应的其他PowerShell脚本。

Rogue脚本对计算机执行各种检查。首先,它试图确定环境是否是恶意软件分析师使用的虚拟机或沙箱。然后它扫描了学校,医院,学院,健康和护士等字符串的网络配置。它还扫描网络的其他机器,包括老师,学生,学校板,儿科,矫形,矫形,店,商店,商店和销售。缓存的URL被扫描了许多金融网站和Citrix和XenApp等名称。

根据Palo Alto研究人员,这些检查的目标是找到用于进行金融交易的系统,避免属于安全研究人员以及医疗和教育机构的系统。

仅标记符合攻击者的系统,并将其报告回命令和控制服务器。对于这些系统,脚本下载恶意加密DLL(动态链接库)文件并将其加载到内存中。

“由于垃圾邮件电子邮件中包含的目标特定细节以及使用内存居民恶意软件,这种特殊的活动应该被视为高威胁,”Palo Alto研究人员在博客帖子中说。

上周由SANS学院的互联网风暴中心的研究人员上周观察到类似的PowerShell和Futeless Malware。

恶意软件创建一个注册表项,在每个系统启动时都会在每个系统启动时启动隐藏的PowerShell实例。powershell命令执行编码脚本,该编码脚本存储在单独的注册表项中。它的目标是将可执行文件直接解密并将可执行文件加载到内存中,而不会将其写入磁盘。

“通过使用PowerShell,攻击者已经能够将可能在硬盘驱动器上检测到Windows注册表的恶意软件,”高级Sans讲师Mark Ba​​ggett在博客文章中表示。

将恶意代码存储在系统注册表中,滥用Windows PowerShell并将恶意宏添加到文档不是新的技术。然而,它们的组合可以为非常有效和难以检测的攻击产生。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。