呂守箴(OpenBlue) => 網路攻防戰~資安閒聊群組: 標題：PowerShell 木馬讓 DNS 查詢淪為駭客聯繫管道摘要： Powershell為一可自動執行任務與進行配置管理的介殼程式，駭客將惡意的Powershell嵌入Word文件中，當使用者開啟文件並啟用巨集後，該木馬即展開4個階段的感染行動，它會先修改註冊表並檢查Powershell版本，倘若受駭使用者具備管理權限，木馬便會把自己加入Windows Management Instrumentation（WMI）中，成為就算重開機都會繼續存在的常駐木馬。之後，它會定期傳送DNS請求給代碼中內建的網域，取得該網域的DNS TXT記錄，該記錄內含了其他的Powershell指令，並會在受感染的電腦上直接執行，駭客唯一要做的是在這些網域的DNS TXT記錄中留下各種指令。危險的是，藉由DNS請求取得的Powershell指令從未被寫入本地系統，因此也無從偵測。引用來源： http://www.ithome.com.tw/news/112459 #58bcffbf62dead81593e4227

呂守箴(OpenBlue) says to 網路攻防戰~資安閒聊群組

標題：PowerShell 木馬讓 DNS 查詢淪為駭客聯繫管道摘要： Powershell為一可自動執行任務與進行配置管理的介殼程式，駭客將惡意的Powershell嵌入Word文件中，當使用者開啟文件並啟用巨集後，該木馬即展開4個階段的感染行動，它會先修改註冊表並檢查Powershell版本，倘若受駭使用者具備管理權限，木馬便會把自己加入Windows Management Instrumentation（WMI）中，成為就算重開機都會繼續存在的常駐木馬。之後，它會定期傳送DNS請求給代碼中內建的網域，取得該網域的DNS TXT記錄，該記錄內含了其他的Powershell指令，並會在受感染的電腦上直接執行，駭客唯一要做的是在這些網域的DNS TXT記錄中留下各種指令。危險的是，藉由DNS請求取得的Powershell指令從未被寫入本地系統，因此也無從偵測。引用來源： http://www.ithome.com.tw/news/112459

at Mon, Mar 6, 2017 2:20 PM