Sign in

Member Benefits

Get Demands

View Business Cards

Exclusive Service

Noble Identity

AS LOW AS 1.5U /DAY

PowerShell惡意軟體下載工具PeakLight埋藏在記憶體內運作,散布多種惡意程式

Share

支付動態

2024-08-26

駭客在攻擊行動裡使用的惡意程式下載工具(Downloader),如今行蹤也變得越來越隱密,研究人員揭露名為PeakLight的惡意程式,就是這樣的例子,其特色就是完全在記憶體內運作,不會在磁碟留下作案蹤跡

根據LNK檔的命令,大致可分成兩種,其中一種是濫用公用程式forfiles.exe尋找win.ini檔案,並啟動PowerShell,然後透過公用程式mshta.exe從特定網域搜尋下載、執行第二階段酬載;另一種則是直接執行PowerShell,啟動mshta.exe下載有效酬載,但特別的是,攻擊者下達命令時,會用到萬用符號,但為何要這麼做,研究人員沒有解釋。

但無論透過何種方式進行後續的攻擊流程,電腦都會從CDN取得JavaScript惡意程式載入工具(Dropper),研究人員看到對方使用兩種混淆手法,其中一種是使用十六進位字元進行處理,另一種則是採用Base64編碼。

而這些載入工具最終於受害電腦植入PeakLight,此為PowerShell打造的作案工具,同樣駭客也經過混淆處理。其中,有部分的版本會在電腦載入MP4影片做為誘餌,降低受害者的戒心。

Disclaimer:
Details
HUIDU.io

GROWTH DRIVEN GLOBAL PTE. LTD. 202618650K

101 THOMSON ROAD, #28-03A, UNITED SQUARE, SINGAPORE 307591

Copyright 2026 HuiDu