这些脚本存储在系统上的两个单独的文件夹中,这很可能是为了避免两个后门都被发现和删除。 上图还显示,TriFive后门每5分钟运行一次,而Snugy后门每30分钟运行一次。...TriFive通过登录合法用户的收件箱并从“已删除邮件”文件夹中的电子邮件草稿中获取PowerShell脚本,从而提供了对Exchange服务器的持久化后门访问。...事实上,基于电子邮件的C2也在Hisoka工具中使用过,虽然Hisoka工具使用电子邮件草稿发送和接收数据,但这些草稿仍保留在草稿文件夹中,而TriFive后门则专门将其电子邮件草稿保存到“已删除邮件”...,并检查“已删除邮件”文件夹中主题为555的电子邮件。...接下来,TriFive会将命令结果发送给攻击者,并将编码的密文设置为电子邮件草稿的消息体,它将保存在主题为555的“已删除邮件”文件夹中。
它是通过恶意Word文档的鱼叉式网络钓鱼电子邮件传播的,目前无法获取其中的样本。它通过PowerShell脚本对目标进行渗透,该脚本从远程服务器下载隐藏在镜像文件中的有效负载。...Windows服务以及启动文件夹快捷方式。...植入程序在%TEMP%文件夹中创建一个自我删除程序,将其自身从文件系统中删除。 截至2020年,JackOfHearts仍用于部署QueenOfHearts。...攻击者可以在受害机器上安装组件: 信息窃取组件:收集在受害者计算机上的所有文档,通过电子邮件发送回攻击者。 命令执行组件:可从DNS TXT记录获取命令。...该组织精通传统的渗透测试方法和Powershell脚本渗透。
特别是通过初始攻击载体、使用中间 PowerShell 脚本进行解密和有效载荷传输,以及绕过受害者计算机上的用户访问控制 (UAC) 的特定方法等等进行了进一步评判。...目前还不清楚这个存档是如何发送的,但它可能是恶意电子邮件的附件,也可能是从不受信任的位置下载的,还可能是通过恶意广告推广的。...LNK 包含 PowerShell 命令,可从 Bynny 内容分发网络 (CDN) 平台上攻击者控制的子域下载并执行严重混淆的 HTML 应用程序 (HTA) 文件。...HTA 文件包含 JavaScript,可解码并运行 PowerShell 解密器脚本,该脚本可解压第二个脚本,在临时文件夹中写入批脚本。...本机二进制文件 FoDHelper.exe LoLBin 用于编辑注册表键值和绕过用户访问控制(UAC)安全功能。
此外,还会利用以安全警报为主题的网络钓鱼电子邮件、水坑攻击,通过torrent共享站点分发恶意软件,以及指示受害者安装恶意浏览器扩展程序等获取访问权限的手段。...其中,BabyShark是基于Visual Basic脚本(VBS)的恶意软件,往往通过包含链接或附件的电子邮件传递。...特权提升 在特权提升方面,Kimsuky使用的是众所周知的方法:将脚本放入Startup文件夹,创建和运行新服务,更改默认文件关联以及注入恶意代码。...防御规避 包括禁用安全工具,删除文件以及使用Metasploit等。 凭证访问 Kimsuky使用合法工具和网络嗅探器从Web浏览器、文件和键盘记录器中收集相关凭证。 ?...发送嵌入BabyShark恶意软件的电子邮件 新的恶意组件 近几个月来,Kimsuky被归因于许多以冠状病毒为主题的邮件攻击活动,以邮件中包含的武器化Word文档为其感染媒介,在受害者计算机上发起恶意软件攻击
它列举了可用的驱动器,收集了除Windows和Program Files文件夹之外的目录和文件列表。...它与C&C服务器的通信使用443端口,并使用AES密码进行加密。GraphQL查询语言被用于通信。从文档、下载、图片、桌面文件夹和所有可用的驱动器(从D:/到Z:/)中窃取数据。...通信是用TLS加密的,其证书在二进制中是硬编码。GrimPlant每10秒发送一次包含基本主机信息的心跳,使用PowerShell执行从C2服务器接收到的命令,并报告返回的结果。...LoadEdge(InvisiMole) LoadEdge类似于InvisiMole的TCP下载组件的升级版本,用于下载进一步的后门模块RC2FM和RC2CL,通常作为新受损计算机上的第一个有效载荷部署...DCRat支持监视屏幕、网络摄像头捕捉、键盘记录以及文件和凭证盗窃。其他功能还包括窃取剪贴板内容、命令执行和DOS攻击功能。DCRat被用于对乌克兰电信运营商和媒体机构的的电子邮件钓鱼攻击。
PowerShell脚本甚至不需要以文件为载体就能感染目标,因此越来越多银行木马和其他类型的威胁都选择了PowerShell。...比如最近有款名为“August”的恶意程序就采用PowerShell进行感染,而且并没有以文件为载体(传送门):在这次攻击中,恶意脚本企图窃取身份凭证和敏感文件。...而且为了能够保证存在的持久性,PowerShell也会安排任务、替换启动文件夹中的脚本、采用组策略或者WMI、感染本地配置文件,在注册表中存储脚本(如2014年的Trojan.Poweliks)等。...除此之外,赛门铁克的这份报告还详细谈到了黑客针对PowerShell脚本的混淆技术;列出了不少PowerShell恶意程序的相关信息,包括勒索软件,键盘记录器,以及银行和后门木马。...另外,恶意脚本大都是通过电子邮件传播,因此最好是不要打开来自不信任源的脚本、文件或者是链接。
查看快捷方式的属性将显示目标字段已成功修改以执行PowerShell有效负载。 ? 由于快捷方式存在于启动文件夹中,因此暂存器将在下一次Windows登录中执行,并且将与命令和控制服务器建立连接。...将这些快捷方式放置在启动文件夹中以保持持久性将是一个微不足道的过程,因为假定已经存在与命令和控制服务器的通信。 lnk2pwn是用Java编写的工具,可用于制作恶意快捷方式。...Empire-修改后的快捷方式由于快捷方式存在于启动文件夹中,因此暂存器将在下一次Windows登录中执行,并且将与命令和控制服务器建立连接。...将这些快捷方式放置在启动文件夹中以保持持久性将是一个微不足道的过程,因为假定已经存在与命令和控制服务器的通信。lnk2pwn是用Java编写的工具,可用于制作恶意快捷方式。...密码哈希可以用于脱机破解或NTLM中继攻击,以便访问其他系统或用户的电子邮件。LNKUp还具有生成将执行任意命令的快捷方式的功能。
大量带有恶意附件的电子邮件发送到南美洲与欧洲的企业。...感染链 攻击者向大量的企业邮箱发送钓鱼邮件。电子邮件有一行文字:“Get Outlook for Android”,该文字会根据攻击目标的位置进行本地化。...打开该文件后,会弹出如下的窗口: 【CHM 文件】 该文件包含混淆的 JavaScript 代码,会启动如下所示的 PowerShell 命令来下载最终 Payload: 【PowerShell...最终的 Payload 是一个 PowerShell 脚本,用于释放并运行 AgentTesla 恶意软件。...,并且收集例如用户名、计算机名称、操作系统、CPU 和 RAM 等失陷主机相关信息。
PowerShell 执行策略如下所示:Unrestricted非 Windows 计算机的默认执行策略,无法更改。未签名的脚本可以运行。 存在运行恶意脚本的风险。...在运行不来自本地 Intranet 区域的脚本和配置文件之前警告用户。AllSigned脚本可以运行。要求所有脚本和配置文件都由受信任的发布者签名,包括在本地计算机上编写的脚本。...此执行策略适用于 PowerShell 脚本内置于较大应用程序的配置,或针对 PowerShell 是具有自身安全模型的程序基础的配置。Default设置默认执行策略。...脚本可以运行。需要受信任的发布者对从 Internet 下载的脚本和配置文件(包括电子邮件和即时消息程序)的数字签名。不需要在本地计算机上编写且未从 Internet 下载的脚本上使用数字签名。...阻止运行所有脚本文件,包括格式化和配置文件 () .ps1xml 、模块脚本文件 (.psm1) ,以及 PowerShell 配置文件 () .ps1 。
对Mitre ATT&CK和Red Canary分别整理得出的Top 20技术进行对比分析,我们可以发现有7项技术是重合的,分别为PowerShell、脚本执行、命令行界面、注册表Run Key/ 启动文件夹...攻击者可以使用PowerShell执行许多操作,包括发现信息和执行代码,例如,用于运行可执行文件的Start-Process cmdlet和在本地或在远程计算机上运行命令的Invoke-Command...除了PowerShell脚本的默认主机之外,脚本还可以在加载PowerShell框架库的其他进程中执行。要查看该行为,观察模块负载以及进行分析以提供其他上下文,从而为检测提供支持。 2....针对该攻击技术,可以在持久化机制生命周期的三个不同点上有效地实现检测:安装时、休眠时以及触发时。 在安装时检测run key和启动文件夹项目需要监视特定注册表和文件系统路径的变更情况。...此外,可以在网络上检测到用于初始访问的有效载荷中使用了哪些混淆方法。还可以使用网络入侵检测系统和电子邮件网关筛选来识别压缩和加密的附件和脚本。某些电子邮件附件展示系统可以打开压缩和加密的附件。
接下来,GetPass.ps1将GetPass.txt作为电子邮件附件,采用STMP协议发送至电子邮箱 xxxxxxxxxx@email.ctbu.edu.cn。...主要手法为通过调用WMI对象对系统的基本信息,硬件信息、用户信息、已安装的程序、用户文档以及网络信息进行收集,并将这些信息保存到一个名为ComputerInfo.html的 HTML文件中,代码如下:...然后再将之前产生的DumpPass.txt,收集的用户桌面上的文档文件、产生的计算机信息文件、屏幕截图等,打包成名为Report.zip的压缩包,并通过电子邮件发送至指定的邮箱。...使用代码中留下的账号和密码登录邮箱后,我们发现有一定数量的受害者发送的邮件(登录于2016/2/27,15:29),邮箱内的邮件一段时间之后会被删除,27号登录时,26号晚的邮件已经被彻底删除。...打开邮件并下载附件Report.zip,解压后可以看到以下文件和目录,这些文件和之前描述的脚本行为相吻合,例如,打开Doc目录后,可以看到收集自受害者桌面的几类文档,在25号抓取的多封邮件中,还不乏各类工作报告
如果安装了PowerShell,其行为将因是否有管理访问权而异。如果有管理权限,它将执行一个PowerShell脚本,该脚本会创建两个具有类似GUID的名称和不同触发器的任务调度器项。...这些任务的动作由PowerShell加载脚本运行。...【该存储库的Downloads文件夹】 该文件夹没有任何版本控制,并且下载计数器仅反映自上次文件更新以来的下载次数。尤其是,system.img文件是用于初始Windows系统感染的真实有效载荷归档。...文件ota.dat和delta.dat以及版本文件都是恶意软件检查新更新可用性的工具。然而,值得注意的是,ota.img和delta.img的下载计数器不能准确反映当前感染数量。...该模块旨在实现两个特定的命令: 服务器发送img的新版本,升级过程由生成的脚本或生成的可执行文件来执行。 执行全面卸载。
自定义文件夹(Custom Folders): 在根目录下,你可以创建自定义文件夹,用于组织和分类计划任务。这些文件夹可以根据你的需要创建,并可以任意命名。...操作设置:根据操作类型,你可以指定要运行的可执行文件或脚本文件的路径,以及传递给该程序的参数。 条件(Conditions): 开始条件:你可以设置任务只有在满足一定条件时才开始执行。...IAction (IAction): 用于创建和管理计划任务操作的接口,例如运行程序、发送电子邮件等。...ITaskFolder (ITaskFolder): 用于管理计划任务文件夹的接口,可以创建和删除文件夹,以及获取文件夹中的计划任务列表。...Action: 代表计划任务的动作,用于设置计划任务要执行的操作,如运行程序、调用 PowerShell 脚本等。
攻击特征 1.病毒会创建计划任务持续使用PowerShell.exe下载其他恶意程序。 2.病毒运行挖矿程序占用计算机资源,影响正常使用。 3.病毒运行木马程序用于自身持久化驻留和操控计算机。...运行程序,此程序会调用Mimikatz脚本,进行本机用户和密码的抓取, 同时创建计划任务,每天固定时间点自动向XX.beahh.com发送http请求下载域名解析后服务器上的程序,并以HTA(内含微软某...病毒拥有远控功能,运行后将本机的CUP型号,操作系统版本,MAC地址,ip地址,域用户名,显卡信息,挖矿线程,以及计算机参数传递给终端: 该脚本新增一个计划任务,计划每天7:00运行 C:\windows...样本启动后会在“%username%\AppData\Local\Temp”目录下创建_MEI24082文件夹(文件夹后的数字24082为随机生成的),释放恶意代码执行需要的库文件。...释放powershell脚本文件并执行mimikatz模块,运行mimi操作后,释放了另一个配置文件 ? mkatz.ini文件中为抓取到的用户密码hash值 ?
攻击活动分析 在2019年10月16日至11月12日之间,研究人员观察到攻击者向德国,意大利和美国的组织发送恶意电子邮件消息,这些攻击对象没有特定的垂直领域,但收件人多为商业、IT业,制造业和卫生保健相关行业...打开Microsoft Word附件后,将执行Microsoft Office宏,进而执行PowerShell脚本,该脚本会将Maze勒索软件下载并安装到受害者的系统上。 ?...这些电子邮件主要针对制造公司,攻击者将Microsoft Office宏的感染链用于PowerShell脚本中,该脚本最终下载并安装了Maze勒索软件。 ?...在2017年,这些活动集中于网络钓鱼和复杂的社会工程学以及银行木马和勒索软件,2018年,这些活动以税收为主题。...这些诱饵文件越来越复杂,反映出社会工程在在全球电子邮件攻击领域中不断改进,攻击者注重有效性性而不是数量。 IOCs ?
无文件型恶意软件所使用的代码不需要驻留在目标Windows设备上,而普通的Windows安装程序涉及到很多的东西:PowerShell、WMI、VB、注册表键和.NET框架等等,但对于无文件型恶意软件来说...近期,FireEye的研究人员就发现有攻击者将PowerShell、VB脚本和.NET应用整合进了一个代码包中。...此外,PowerShell还可以用于远程访问攻击或绕过应用白名单保护等等。 ? 鉴于这类日趋严重的安全威胁,安全团队可以做些什么来保护他们的组织抵御无文件型恶意软件呢?...这并不意味着你要定期进行安全练习,或偶尔向员工发送钓鱼测试邮件。这里需要我们制定一套安全操作流程,并且让员工有效地意识到电子邮件附件的危险性,防止员工无意识地点击陌生链接。...为了防止这种情况的发生,我们应该对组织内的网络系统以及相应访问权限进行仔细划分,尤其是针对第三方应用程序和用户进行划分。
Mitaka Mitaka不仅可以用于查找 IP、MD5、ASN 和比特币地址。还可以用于识别恶意软件、确定电子邮件地址的可信度以及查找 URL 是否与错误相关。...这些电子邮件保护根据发件人 IP 和域验证电子邮件,通常应用于组织电子邮件网关或外部 DNS。它们提供针对网络钓鱼和其他欺骗威胁的保护。...并且扫描服务器上所有存储的传入和传出邮件,以检测可能通过电子邮件网关或源自内部的威胁。文件完整性监控 (FIM),FIM 可以通过查看模式来帮助识别文件服务器上的文件覆盖。...如果可能,应使用应用程序白名单禁用或限制 powershell。Powershell 通常用于在从远程服务器下载恶意脚本之前逃避反恶意软件产品和检测。...勒索软件可以从用户具有写入权限的临时文件夹(例如 %appdata% 文件夹)运行。如果您使用的操作系统在 Windows 中没有应用程序白名单,您可以使用软件限制策略来实现类似的目标。
PowerShell分析 powershell脚本行为如下图: ? 该脚本使用了多层加密,混淆和编码技术,最顶层为base64编码: ?...脚本将其解码产生两个DLL,一个是勒索软件的x86版本(用于32位OS),另一个是x64版本(用于64位OS)。它会对运行环境进行检测,以便可以确定要使用的DLL版本: ?...它首先从kernell32.dll中找到所需功能的API地址: ? 然后计算内存地址: ? ? 脚本本身充当DLL加载程序,可以自行计算并解析定位其所需的内存地址。...无文件勒索软件分析 Netwalker使用6个随机字符作为扩展名重命名加密文件: ? 它将勒索信息放在系统各个文件夹中,并在对受害者数据文档加密后打开,其内容为: ?...以下是避免被勒索软件攻击的一些建议: 定期备份关键数据,减轻勒索软件攻击的影响; 安装来自操作系统和第三方供应商的最新软件补丁; 遵守良好的邮件和网站安全规范; 及时发现警告可疑的电子邮件和文件; 在端点上实施应用程序白名单
这款RAT可以帮助红队测试人员给任何一台Windows设备安装后门,它不仅可以使用屏幕捕捉功能来跟踪用户的活动,而且还可以通过电子邮件附件来将提取出的数据发送给攻击者。...注:本工具目前还不会被任何反病毒软件检测到,PowerShell-RAT的开发意图是为了进行安全教育并给研究人员提供实验工具,请不要将其用于恶意目的,否则后果自负。...文件中修改账号的$username和$password变量值; 根据邮箱地址修$msg.From和$msg.To.Add; 如何使用 选项1:通过设置执行策略来不受限制地使用Set-ExecutionPolicyUnrestricted...选项4:该选项将使用Powershell从目标设备上发送电子邮件,并使用Mail.ps1脚本将提取到的数据+屏幕截图以邮件附件的形式进行发送。...配置完成之后,你就可以查看到用户的活动截图了: ? 接下来,工具还将使用Gmail并以邮件附件的形式将提取出的数据发送给攻击者: ?
攻击者常常会通过钓鱼邮件分发远控木马,也会利用存储在压缩文件中的 TrickGate 加载程序、恶意 ISO 文件以及嵌入图片中的 VBScript 脚本 URL 进行传播。...钓鱼邮件 分发 DBatLoader 和 Remcos 的钓鱼邮件通常带有附件,将 tar.lz 等压缩文件伪装成发票或投标文件等能够让电子邮件看起来可信的文件。...钓鱼邮件通常声称或者确实就来自与攻击目标相关的机构或者商业组织,这使得发送发票等行为变得合理。 许多钓鱼邮件是从与目标所在国家或者地区相同的顶级域名的电子邮件发送的。...快捷方式文件示例 研究人员收集到了各种各样的 Remcos 配置信息,大部分都启用了键盘记录与屏幕截图窃取的功能。而用于 C&C 的域名,则使用了 Duckdns 的动态 DNS 域名。...越来越多的攻击者开始这样做 2.监控 %Public%\Library 目录中的可疑文件创建,以及带有尾部空格的文件系统路径操作,特别是模拟可信目录的操作 3.将用户账户控制配置为总是提醒,这样程序要对计算机进行任何更改时用户都会得到提醒
领取专属 10元无门槛券
手把手带您无忧上云
