利用PowerShell散播惡意軟體並不件新鮮事;事實上,有許多無檔案病毒(fileless malware)都使用了這種作法。我們經常會看到這類型的威脅,趨勢科技的行為監控技術也能夠加以主動偵測和封鎖。比方說我們有智慧型特徵碼能夠主動偵測惡意PowerShell腳本所建立的排程工作。我們還有網路層規則來偵測SMB漏洞攻擊、暴力破解攻擊和非法虛擬貨幣挖礦( coinmining )連線等惡意活動。
不過這些活動的突然飆升仍然並不常見。根據趨勢科技 Smart Protection Suites反饋資料顯示,最近出現了一波針對中國的攻擊。攻擊活動在5月17日發現,現在仍在進行中;在5月22日到達顛峰後就一直保持穩定。
進一步分析後讓我們認為這些都屬於同一波的攻擊活動,行為模式跟之前用混淆PowerShell腳本(名為PCASTLE)散播門羅幣挖礦病毒的攻擊類似。但前一波的攻擊已經擴散到了日本、澳洲、台灣、越南、香港和印度等其他地區。現在似乎正將目標再度針對中國,跟之前被報導的首波攻擊一樣。
這波新攻擊使用了一些新手法。首先,它用了多個進行不同工作的組件來以各種方式散播虛擬貨幣挖礦病毒。它還使用了多層的無檔案技術,透過惡意PowerShell腳本下載其他病毒(通過排程工作)並只在記憶體內執行。最終的PowerShell腳本也是在記憶體內執行,用來進行所有的惡意行為:SMB漏洞攻擊(EternalBlue(永恆之藍))、暴力破解、傳遞雜湊(pass-the-hash)攻擊及下載其他病毒。
繼續閱讀