首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >PowerStager:一款拥有独特混淆技术的恶意工具正在崛起

PowerStager:一款拥有独特混淆技术的恶意工具正在崛起

作者头像
企鹅号小编
发布2018-02-06 09:45:53
7250
发布2018-02-06 09:45:53
举报
文章被收录于专栏:企鹅号快讯企鹅号快讯

“用指尖改变世界”

Palo Alto Networks公司警告说,自2017年4月以来,一种恶意工具已经成为人们关注的焦点之一。这主要原因是由于它采用了相当独特技术来混淆它的PowerShell脚本,这种技术是其他工具所没有的。

工具名为“PowerStager”,在2017年12月左右,其在实际攻击活动中的使用率有所上升。

PowerStager的核心是一个Python脚本,它使用C源代码生成Windows可执行文件,然后利用多层模糊处理启动PowerShell脚本,最终目标是执行shellcode有效载荷。PowerStager有很多配置选项,使其具有相当大的灵活性。以下是代码中列出的一些配置选项:

能够选择目标平台(x86或x64);

能够在默认值之上使用额外的模糊处理;

能够显示社交工程的自定义错误消息/可执行图标;

能够使用Meterpreter或其他内置的shellcode有效载荷;

能够获取远程载荷或将其嵌入到可执行文件中;

能够使用UAC升级权限。

PowerStager的执行流程如下图所示:

截至2017年12月29日,Palo Alto Networks已经在世纪攻击活动中观察到了502个独特的PowerStager样本,主要针对西欧媒体和批发商。研究人员解释说,也有大量样本被用于测试和销售时的概念验证演示。

Palo Alto Networks的安全专家Jeff White还发现PowerStager在构建样本时定义的某些属性可以用于追踪它们。尽管,生成的不同样本存在属性特征上的差异,它们都拥有各自独特的属性,但事实证明对追踪来说是某些属性是有用,尤其是在动态分析过程中加上独特的混淆和PowerShell方法时尤其如此。

虽然这不是最先进的工具集,其也使得我们在尝试混淆和动态检测时遇到了很多麻烦。PowerStager已经涵盖了许多混淆和灵活性的基础,即使迄今为止还没有看到太多的使用。然而,它的确正在崛起,我们会在它的发展中保持关注。”White总结道。

本文由黑客视界综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

本文来自企鹅号 - 黑客视界媒体

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文来自企鹅号 - 黑客视界媒体

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档