该脚本工作流程如下:
从Imgur下载PNG并将其保存到磁盘
1. 使用System.Drawing,读取每个像素并提取alpha(A)的值
2. 确保从数组中删除所有空值(0x00)
3. 对Base64数据进行解码并将文件写入磁盘
4. 将新解码的文件作为可执行文件运行
基于上面的代码,它当然会弹出计算器:
要想执行上面的代码,要求你的系统允许执行Powershell脚本。也就是说,虽然在大多数家用电脑这不是一个安全问题,因为它被默认禁用的,但是许多企业环境都要求启用这项功能。绕过所有限制的方法,是在VBScript的帮助下执行代码,可以在一个Word宏中存储所有这些东西。
解决方案
需要记住的一点是,虽然攻击是使用Powershell完成的,但这并不意味着你不能用带有嵌入宏的Word文档来实现这一点。从终端用户角度来看,避免执行任何不需要的代码是避免这种情况的最好方法。
发表评论