利用 Chisel 进行秘密行动：剖析多阶段 PowerShell 攻击活动

文章预览

CRIL 对复杂的多阶段 PowerShell 感染链进行了全面分析，该链旨在确保持久性并绕过防御，从而可能为使用 Chisel 的攻击提供便利。 关键要点 Cyble 研究与情报实验室 (CRIL) 发现了一项在多阶段感染过程中使用 PowerShell 的复杂活动。  攻击以可疑的 LNK 文件启动，该文件会激活用于下载和执行恶意负载的 PowerShell 脚本。这种分层策略可增强隐身性、逃避检测并确保在目标系统中长期存在。  在第一阶段，LNK 文件运行初始远程混淆的 PowerShell 脚本，该脚本通过部署和执行辅助 PowerShell 脚本和批处理文件来建立持久性。  第二阶段 PowerShell 脚本继续与命令和控制 (C＆C) 服务器通信并执行第三阶段 PowerShell 脚本。  第三阶段也是最后一阶段的 PowerShell 脚本发送命令链请求，并包含按照 C＆C 服务器的指示执行接收的命令的例程。  对网络基础设施的分析揭示了 ………………………………