回归最本质的信息安全

;

谨防Windows PowerShell凭证请求提示

2018年3月17日发布

43,758
0
11

导语:最近有人在Github上发布了一个新的PowerShell脚本,这段脚本会提示用户,让他们输入登录凭证,用户中招后,攻击者就会通过受害者来传播脚本并获取域登录凭证。

u=331502163,693339763&fm=27&gp=0.jpg

最近有人在Github上发布了一个新的PowerShell脚本,这段脚本会提示用户,让他们输入登录凭证,等确定用户输入的凭证正确后,该脚本就会将登录凭证发送到远程服务器,这就允许攻击者通过受害者来传播脚本并获取域登录凭证。

1.png

Github上的脚本说明

此Github脚本使用了Get-Credential PowerShell cmdlet来显示登录提示,要求用户输入其凭证。当用户输入他们的凭证时,脚本将尝试利用受害者的域进行身份验证,如果验证成功,则会将凭证发送到远程服务器。如果输入的凭证不正确,脚本将不断提示用户输入凭证。

此时,终止输入提示的唯一方法是打开任务管理器,查找名为“Windows PowerShell”的进程,然后终止它。

2.png

任务管理器

值得庆幸的是,此特定脚本显示的登录提示可以很容易地被发现,因为警报标题为“Windows PowerShell凭证请求”,并且将包含一个带有一组密钥的蓝色区域,如下所示。

3.png

默认获取凭证提示

问题是,这个警报的标题可以通过使用稍微不同的PowerShell cmdlet来更改,所以出于安全考虑,我将不在这里分享。通过使用不同的命令,攻击者可以进一步自定义登录提示,使其更有迷惑性。

如下图所示,就是我创建的一个伪装成Windows Defender的提示,并要求用户登录才能对计算机进行清理。

4.png

自定义的凭证提示

尽管有安全经验的计算机用户仍然可能会发现此提示非常可疑,但很多人可能认为这是合法的进程,并按提示输入登录名和密码。

值得庆幸的是,尽管标题可能会被更改,但提示本身仍包含蓝色区域及其中的一组输入内容。因此,如果你看到有提示询问你的用户名和密码,并且提醒看起来与上述界面类似,请谨慎输入你的凭证。

本文翻译自:https://www.bleepingcomputer.com/news/security/psa-beware-of-windows-powershell-credential-request-prompts/如若转载,请注明原文地址: http://www.4hou.com/info/news/10738.html

点赞 11
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

xiaohui

嘶吼编辑

发私信

发表评论