近期，腾讯御见威胁情报中心监控到利用PowerShell执行恶意代码的攻击频繁发生。此类型攻击利用受害者系统正常应用白进程调用同名资源文件来执行恶意代码，从而绕过安全软件的拦截，使受害者难以发现。

　　PowerShell结合 .NET 实施的“无文件”攻击，指攻击代码的下载和执行过程均在内存中实现，并不在系统创建攻击文件，可以有效逃避安全软件的行为拦截，致使威胁活动更加难以追踪，从而达到攻击行为便捷、有效、隐蔽的特点。借助此类攻击方式实施的窃密、挖矿、盗取用户个人财产的网络攻击行为，也给企业和个人带来严重的安全威胁。

　　入侵网站植入远程控制后门 攻击者疑似Web安全从业人员

　　近日发生一起利用PowerShell执行恶意远程控制代码案例。PowerShell通过带参数执行.NET代码，对关键代码部分解码解压后可知通过申请内存，创建远线程的方式执行一段Base64编码的Shellcode。Shellcode连接服务器地址下载一个网络文件，下载的网络文件是一个PE文件，在内存中展开执行。

　　有趣的是，通过追踪溯源后发现疑似攻击者的一个网络博客，且通过博客内容可知该博主疑似安全行业从业人员。