【安全资讯】新型PowerShell威胁：利用先进技术渗透网络

概要：

近期，Cyble研究与情报实验室（CRIL）揭示了一种复杂的多阶段PowerShell攻击活动，该活动利用多种先进技术渗透网络、维持持久性并实现隐秘通信。这一攻击手法的复杂性和隐蔽性使其成为网络安全领域的重要关注点。

主要内容：

该攻击活动始于一个恶意的LNK文件，该文件触发第一阶段的远程PowerShell脚本执行。此脚本通过一系列脚本在受害者系统上建立持久性，确保与指挥与控制（C&C）服务器的持续通信。攻击链分为三个阶段，第一阶段脚本创建隐藏目录，绕过Windows安全策略，并获取机器的代理设置，以确保与C&C服务器的无缝连接。

CRIL指出，攻击者使用PowerShell命令设置执行策略为“Bypass”，以规避检测。在后续阶段，脚本引入随机延迟并采用混淆技术掩盖其活动，旨在欺骗安全监控系统。该活动的一个关键亮点是使用Chisel，这是一种常被网络攻击者用于在网络中进行横向移动的隧道工具。通过Chisel，攻击者在被攻陷的机器上建立SOCKS代理，能够扫描内部网络，访问受保护的系统，并为隔离的机器提供外部连接，以便进一步下载恶意软件。

此外，该活动通过Netskope代理路由流量，进一步模糊C&C流量，使得安全团队难以识别和阻止恶意C&C流量。通过这种复杂的设置，攻击者获得了进入内部网络的隐蔽灵活通道，极大地增强了其攻击能力和隐蔽性。