網(wǎng)上有很多關(guān)于pos機(jī)清除安全攻擊,全能型惡意攻擊出現(xiàn) 利用宏和PowerShell攻擊金融交易系統(tǒng)的知識(shí)，也有很多人為大家解答關(guān)于pos機(jī)清除安全攻擊的問(wèn)題，今天pos機(jī)之家(m.nxzs9ef.cn)為大家整理了關(guān)于這方面的知識(shí)，讓我們一起來(lái)看下吧!

本文目錄一覽：

1、pos機(jī)清除安全攻擊

pos機(jī)清除安全攻擊

研究人員警告稱，攻擊者正使用嵌入惡意宏的 Word 文檔和 PowerShell，用非硬盤駐留型惡意軟件感染計(jì)算機(jī)。

帶有惡意宏的 Word 騷擾文檔在過(guò)去幾個(gè)月內(nèi)成為了感染計(jì)算機(jī)的主流手段之一。如今攻擊者更進(jìn)一步，使用此類文檔傳輸非硬盤駐留型（Fileless）惡意軟件。這種惡意軟件沒(méi)有文件實(shí)體，可以直接加載到受害計(jì)算機(jī)的內(nèi)存中。

安全研究人員分析了近期發(fā)生的一次攻擊事件。事件中，攻擊者向美國(guó)、加拿大和歐洲的企業(yè)電子郵件地址發(fā)送惡意 Word 騷擾文件。他們發(fā)送的郵件帶有收件人的名字以及公司的詳細(xì)信息，這在廣于撒網(wǎng)的騷擾攻擊活動(dòng)中并不多見。研究人員認(rèn)為，郵件內(nèi)容中帶有詳細(xì)信息更有可能引誘受害者打開附件。

如果受害者打開郵件附件并允許宏，惡意軟件將用特定的命令行參數(shù)秘密執(zhí)行 powershell.exe 的一個(gè)實(shí)例。 Windows PowerShell 是一種任務(wù)自動(dòng)化及配置管理框架，Windows 默認(rèn)帶有該軟件，它還有自己的腳本語(yǔ)言。

這種攻擊中執(zhí)行的 PowerShell 命令被用于檢查 Windows 系統(tǒng)是32位還是64位的，并相應(yīng)下載額外的 PowerShell 腳本。

惡意腳本會(huì)對(duì)計(jì)算機(jī)進(jìn)行一系列檢查。首先，它試圖確定運(yùn)行環(huán)境是否為虛擬機(jī)或沙盒，就像惡意軟件分析師使用的那些一樣；之后，它掃描網(wǎng)絡(luò)配置文件，尋找學(xué)校、醫(yī)院、大學(xué)、醫(yī)療、護(hù)士等字段；它還會(huì)掃描網(wǎng)絡(luò)上的其它計(jì)算機(jī)，尋找老師、學(xué)生、校董會(huì)、兒科、整形外科、POS、賣場(chǎng)、商店、銷售等字段； 它還會(huì)掃描受害計(jì)算機(jī)上緩存的 URL ，尋找金融網(wǎng)站，以及 Citrix 、XenApp 等字段。

Palo Alto 研究人員表示，這類檢查的目標(biāo)在于，尋找用于金融轉(zhuǎn)賬的系統(tǒng)，并避開屬于安全研究人員、醫(yī)療和教育機(jī)構(gòu)的系統(tǒng)。只有滿足攻擊者篩選要求的系統(tǒng)才會(huì)被標(biāo)記并向幕后控制服務(wù)器上報(bào)。

惡意腳本會(huì)在這些系統(tǒng)上下載加密的惡意 DLL 文件，并將其加載入內(nèi)存。Palo Alto 公司研究人員在發(fā)表的一篇博文中稱，“騷擾郵件的內(nèi)容相當(dāng)詳細(xì)，還使用了內(nèi)存駐留型惡意軟件，我們認(rèn)為這種攻擊應(yīng)當(dāng)被視為高級(jí)別威脅。”

來(lái)自 SANS 研究所互聯(lián)網(wǎng)風(fēng)暴中心（Internet Storm Center）的研究人員上周也觀測(cè)到一種與此類似的攻擊活動(dòng)，過(guò)程中結(jié)合了 PowerShell 和非硬盤駐留型惡意軟件。

這種惡意軟件會(huì)創(chuàng)建一個(gè)注冊(cè)表鍵，在每次系統(tǒng)啟動(dòng)時(shí)運(yùn)行隱藏的 PowerShell 實(shí)例。 PowerShell 命令將運(yùn)行存儲(chǔ)在另外的注冊(cè)表鍵zho編碼過(guò)的腳本。這種處理方式可以在不向硬盤寫入的前提下將可執(zhí)行文件解密并直接加載入內(nèi)存。

SANS 研究所資深講師馬克·巴吉特（Mark Baggett）在博文中寫道：“通過(guò)使用 PowerShell ，攻擊者能夠?qū)⒖赡茉谟脖P上被檢測(cè)到的惡意軟件放進(jìn) Windows 注冊(cè)表中。”

將惡意軟件存儲(chǔ)在注冊(cè)表中、 通過(guò)濫用 Windows PowerShell將惡意宏加到文檔上都并不是新技術(shù)。然而，兩者的結(jié)合可能制造強(qiáng)有力且很難發(fā)現(xiàn)的攻擊。

以上就是關(guān)于pos機(jī)清除安全攻擊,全能型惡意攻擊出現(xiàn) 利用宏和PowerShell攻擊金融交易系統(tǒng)的知識(shí)，后面我們會(huì)繼續(xù)為大家整理關(guān)于pos機(jī)清除安全攻擊的知識(shí)，希望能夠幫助到大家！