謹防Windows PowerShell憑證請求提示
最近有人在Github上發布了一個新的PowerShell腳本,這段腳本會提示用戶,讓他們輸入登錄憑證,等確定用戶輸入的憑證正確後,該腳本就會將登錄憑證發送到遠程伺服器,這就允許攻擊者通過受害者來傳播腳本並獲取域登錄憑證。
Github上的腳本說明
此Github腳本使用了Get-Credential PowerShell cmdlet來顯示登錄提示,要求用戶輸入其憑證。當用戶輸入他們的憑證時,腳本將嘗試利用受害者的域進行身份驗證,如果驗證成功,則會將憑證發送到遠程伺服器。如果輸入的憑證不正確,腳本將不斷提示用戶輸入憑證。
此時,終止輸入提示的唯一方法是打開任務管理器,查找名為「Windows PowerShell」的進程,然後終止它。
任務管理器
值得慶幸的是,此特定腳本顯示的登錄提示可以很容易地被發現,因為警報標題為「Windows PowerShell憑證請求」,並且將包含一個帶有一組密鑰的藍色區域,如下所示。
默認獲取憑證提示
問題是,這個警報的標題可以通過使用稍微不同的PowerShell cmdlet來更改,所以出於安全考慮,我將不在這裡分享。通過使用不同的命令,攻擊者可以進一步自定義登錄提示,使其更有迷惑性。
如下圖所示,就是我創建的一個偽裝成Windows Defender的提示,並要求用戶登錄才能對計算機進行清理。
自定義的憑證提示
儘管有安全經驗的計算機用戶仍然可能會發現此提示非常可疑,但很多人可能認為這是合法的進程,並按提示輸入登錄名和密碼。
值得慶幸的是,儘管標題可能會被更改,但提示本身仍包含藍色區域及其中的一組輸入內容。因此,如果你看到有提示詢問你的用戶名和密碼,並且提醒看起來與上述界面類似,請謹慎輸入你的憑證。
※惡意軟體Ursnif的隱蔽進程注入技術分析
※公有雲數據安全如何產品化?
TAG:嘶吼RoarTalk |