網(wǎng)上有很多關(guān)于pos機清除安全攻擊,全能型惡意攻擊出現(xiàn) 利用宏和PowerShell攻擊金融交易系統(tǒng)的知識，也有很多人為大家解答關(guān)于pos機清除安全攻擊的問題，今天pos機之家(www.nxzs9ef.cn)為大家整理了關(guān)于這方面的知識，讓我們一起來看下吧!

本文目錄一覽：

1、pos機清除安全攻擊

pos機清除安全攻擊

研究人員警告稱，攻擊者正使用嵌入惡意宏的 Word 文檔和 PowerShell，用非硬盤駐留型惡意軟件感染計算機。

帶有惡意宏的 Word 騷擾文檔在過去幾個月內(nèi)成為了感染計算機的主流手段之一。如今攻擊者更進一步，使用此類文檔傳輸非硬盤駐留型（Fileless）惡意軟件。這種惡意軟件沒有文件實體，可以直接加載到受害計算機的內(nèi)存中。

安全研究人員分析了近期發(fā)生的一次攻擊事件。事件中，攻擊者向美國、加拿大和歐洲的企業(yè)電子郵件地址發(fā)送惡意 Word 騷擾文件。他們發(fā)送的郵件帶有收件人的名字以及公司的詳細信息，這在廣于撒網(wǎng)的騷擾攻擊活動中并不多見。研究人員認為，郵件內(nèi)容中帶有詳細信息更有可能引誘受害者打開附件。

如果受害者打開郵件附件并允許宏，惡意軟件將用特定的命令行參數(shù)秘密執(zhí)行 powershell.exe 的一個實例。 Windows PowerShell 是一種任務(wù)自動化及配置管理框架，Windows 默認帶有該軟件，它還有自己的腳本語言。

這種攻擊中執(zhí)行的 PowerShell 命令被用于檢查 Windows 系統(tǒng)是32位還是64位的，并相應(yīng)下載額外的 PowerShell 腳本。

惡意腳本會對計算機進行一系列檢查。首先，它試圖確定運行環(huán)境是否為虛擬機或沙盒，就像惡意軟件分析師使用的那些一樣；之后，它掃描網(wǎng)絡(luò)配置文件，尋找學校、醫(yī)院、大學、醫(yī)療、護士等字段；它還會掃描網(wǎng)絡(luò)上的其它計算機，尋找老師、學生、校董會、兒科、整形外科、POS、賣場、商店、銷售等字段； 它還會掃描受害計算機上緩存的 URL ，尋找金融網(wǎng)站，以及 Citrix 、XenApp 等字段。

Palo Alto 研究人員表示，這類檢查的目標在于，尋找用于金融轉(zhuǎn)賬的系統(tǒng)，并避開屬于安全研究人員、醫(yī)療和教育機構(gòu)的系統(tǒng)。只有滿足攻擊者篩選要求的系統(tǒng)才會被標記并向幕后控制服務(wù)器上報。

惡意腳本會在這些系統(tǒng)上下載加密的惡意 DLL 文件，并將其加載入內(nèi)存。Palo Alto 公司研究人員在發(fā)表的一篇博文中稱，“騷擾郵件的內(nèi)容相當詳細，還使用了內(nèi)存駐留型惡意軟件，我們認為這種攻擊應(yīng)當被視為高級別威脅。”

來自 SANS 研究所互聯(lián)網(wǎng)風暴中心（Internet Storm Center）的研究人員上周也觀測到一種與此類似的攻擊活動，過程中結(jié)合了 PowerShell 和非硬盤駐留型惡意軟件。

這種惡意軟件會創(chuàng)建一個注冊表鍵，在每次系統(tǒng)啟動時運行隱藏的 PowerShell 實例。 PowerShell 命令將運行存儲在另外的注冊表鍵zho編碼過的腳本。這種處理方式可以在不向硬盤寫入的前提下將可執(zhí)行文件解密并直接加載入內(nèi)存。

SANS 研究所資深講師馬克·巴吉特（Mark Baggett）在博文中寫道：“通過使用 PowerShell ，攻擊者能夠?qū)⒖赡茉谟脖P上被檢測到的惡意軟件放進 Windows 注冊表中?！?/p>

將惡意軟件存儲在注冊表中、 通過濫用 Windows PowerShell將惡意宏加到文檔上都并不是新技術(shù)。然而，兩者的結(jié)合可能制造強有力且很難發(fā)現(xiàn)的攻擊。

以上就是關(guān)于pos機清除安全攻擊,全能型惡意攻擊出現(xiàn) 利用宏和PowerShell攻擊金融交易系統(tǒng)的知識，后面我們會繼續(xù)為大家整理關(guān)于pos機清除安全攻擊的知識，希望能夠幫助到大家！