趋势科技警告说要注意没有文件的恶意软件

2020-02-03 14:45:54 来源: INeng财经

Infosec专业人员把大部分时间花在应对每天网络上出现的常见威胁上。另一方面,攻击者花时间找出新的方法来逃避检测。最新的一款是无文件恶意软件,旨在逃避沙箱防御寻找签名。

趋势科技已经发现了这种新威胁的一个例子,虽然它本身没有多大影响,但它是对未来的一个警告。

安全供应商将这个特定的trojanJS_POWMET称为。攻击从感染Windows注册表开始——trend Micro怀疑木马是由访问恶意网站的用户下载的,或者是由其他恶意软件丢弃的文件下载的——这就增加了一个自动启动注册表项。这将从命令和控制服务器获取inJS_POWMET。注册表更改允许执行任意脚本,而无需在计算机上保存XML文件。

执行JS_POWMET之后,它将下载另一个文件TROJ_PSINJECT,这是一个在Powershell进程下运行的Powershell脚本。TROJ_PSINJECT将连接到一个网站,下载一个名为favicon的普通文件。然后使用ReflectivePELoader将该文件解密并注入到其进程中,ReflectivePELoader用于注入EXE/DLL文件。

(Trend Micro图形)

许多例程最后都是由恶意软件使用PowerShell命令执行的。除此之外,恶意软件还会收集系统信息,包括管理员权限、根卷序列号、操作系统版本和IP地址。但是Trend Micro警告说,JS_POWMETauthors可以很容易地添加更多的恶意软件。

“了解你的敌人”是一句适用于网络安全的格言。攻击的归属可以帮助防御者保护…

CISOs不应该对维基解密最新的指控感到担忧,即CIA有能力破解几乎任何东西——……

Trend Micro表示,减少无文件恶意软件的一个更有效的方法是,通过将端点与网络最重要部分分隔开的基于容器的系统,限制对关键基础设施的访问。对于这个特定的恶意软件,看看禁用Powershell本身,如果它是明确的其他Windows组件不需要它。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。