近期，騰訊御見威脅情報中心監控到利用PowerShell執行惡意代碼的攻擊頻繁發生。此類型攻擊利用受害者系統正常應用白進程調用同名資源文件來執行惡意代碼，從而繞過安全軟件的攔截，使受害者難以發現。

PowerShell結合 .NET 實施的“無文件”攻擊，指攻擊代碼的下載和執行過程均在內存中實現，并不在系統創建攻擊文件，可以有效逃避安全軟件的行為攔截，致使威脅活動更加難以追蹤，從而達到攻擊行為便捷、有效、隱蔽的特點。借助此類攻擊方式實施的竊密、挖礦、盜取用戶個人財產的網絡攻擊行為，也給企業和個人帶來嚴重的安全威脅。

入侵網站植入遠程控制后門 攻擊者疑似Web安全從業人員

近日發生一起利用PowerShell執行惡意遠程控制代碼案例。PowerShell通過帶參數執行.NET代碼，對關鍵代碼部分解碼解壓后可知通過申請內存，創建遠線程的方式執行一段Base64編碼的Shellcode。Shellcode連接服務器地址下載一個網絡文件，下載的網絡文件是一個PE文件，在內存中展開執行。

有趣的是，通過追蹤溯源后發現疑似攻擊者的一個網絡博客，且通過博客內容可知該博主疑似安全行業從業人員。

（圖：疑似攻擊者的網絡博客）

PowerShell下載執行木馬挖取比特票 嚴重影響用戶上網體驗

挖礦木馬風行，PowerShell也成為了挖礦木馬的好幫手。騰訊御見威脅情報中心捕獲到利用PowerShell下載云端壓縮包，最終解壓出挖礦病毒文件挖取比特票的挖礦木馬。木馬運行后將導致受害者系統資源被大量占用，機器CPU使用率暴漲，造成系統操作卡頓，嚴重影響用戶的上網體驗。

（圖：礦機使用的挖礦錢包當前信息）

PowerShell下載數字貨幣交易劫持木馬 給企業帶來嚴重安全威脅

通過PowerShell下載讀取云端圖片，圖片內藏惡意編碼的Shellcode代碼和攻擊模塊，惡意模塊被加載后會默認安裝惡意瀏覽器插件進一步實施挖礦，劫持用戶數字貨幣交易行為。倘若該中毒電腦上進行數字虛擬貨幣交易，木馬可以在交易瞬間將收款人錢包地址換成病毒設定的錢包地址，成功實現搶錢目的。

對企業而言，服務器被攻擊拉起PowerShell進程執行遠程惡意代碼，多數情況下是由于企業自身安全意識不足，對爆出的系統漏洞和應用程序漏洞未及時進行修復，進而導致服務器被入侵，影響企業正常運轉。攻擊者通常是利用爆出已久的高危安全漏洞來進行攻擊，其中Weblogic反序列化漏洞、MS17-010、Struts2系列漏洞都備受攻擊者青睞。

（圖：結合PowerShell常投放的Nday）

“弱口令”也會給企業帶來未知的安全隱患，降低了攻擊者的攻擊成本。部分攻擊者還會結合社工欺騙、釣魚的方式偽造攻擊郵件，結合Office宏來執行惡意代碼，進一步實施攻擊。據統計，攻擊者在入侵成功后，最喜歡投放的是挖礦木馬，其次為勒索病毒，這些都給企業帶來嚴重的安全威脅。

（圖：結合PowerShell常投放的威脅種類）

騰訊安全技術專家指出，攻擊者利用PowerShell結合釣魚郵件實施的Office宏攻擊會給企業帶來嚴重的安全威脅。企業可默認禁用Office宏功能，以阻斷攻擊入口。此外，企業應及時修復系統安全漏洞和應用程序安全漏洞，防止被不法黑客利用執行遠程代碼攻擊，從而阻斷攻擊入口。

騰訊安全反病毒實驗室專家馬勁松建議企業用戶全網安裝騰訊御點終端安全管理系統，該系統具備終端殺毒統一管控、修復漏洞統一管控，以及策略管控等全方位的安全管理功能，可幫助企業管理者全面了解、管理企業內網安全狀況、保護企業安全。

（圖：騰訊御點漏洞修復頁面）

除此之外，騰訊御界防APT郵件網關通過對郵件多維度信息的綜合分析，可迅速識別釣魚郵件、病毒木馬附件、漏洞利用附件等威脅，有效防范郵件安全風險，保護企業免受數據和財產損失。

（圖：騰訊御界防APT郵件網關頁面）