从2017年开始，挖矿软件和盗窃加密货币的恶意软件数量就开始猛增，为了获得更多更快的利润，攻击者都在恶意攻击时利用了PowerShell。

在本周McAfee发布了一份最新的安全研究报告，在报告中，McAfee表示，与2016年同期相比，2017年第四季度利用PowerShell的无文件恶意软件样本增长了2.67倍。McAfee在2017年观察到的PowerShell恶意软件样本总数比2016年的数量整整高出了4.32倍。

McAfee表示，这种脚本语言对于在Microsoft Office文件中广泛使用它的攻击者来说是不可抗拒的，通常用于执行大面积攻击的初始阶段。

McAfee指出，针对平昌冬季奥运会的“金龙行动（Golden Dragon）”就是一个涉及PowerShell恶意软件攻击的特别有代表的例子。在该攻击活动中，攻击者通过植入PowerShell与远程服务器建立加密通信通道来发送被感染的系统信息。

在2017年使用PowerShell进行传播的最流行的脚本恶意软件系列包括W97/Downloader、Kovter木马、Nemucod木马等，其中Kovter木马由于是一个无文件类型的恶意软件，比较难于发现，该木马Kovter还被攻击者用于窃取个人信息，同时下载并执行其他恶意的payload。

带有PowerShell的恶意软件利用脚本工具的合法功能执行恶意活动，这就需要安全管理员使用PowerShell自动执行重复任务，以识别和终止恶意进程，检查在系统上运行的恶意服务以及其他任务。

PowerShell为什么会成为黑客的新宠？

PowerShell之所以受到攻击者的欢迎，是因为它给攻击提供了一种隐藏恶意活动的方法。PowerShell在系统内存中运行的能力使攻击者能够在不需要在系统上安装恶意软件的情况下运行恶意代码，从而使其难以被检测。早在两年前，像安全公司Carbon Black就发布过一份报告，预测未来PowerShell恶意软件的使用将会急剧增加，特别是在执行命令和控制通信以及隐藏大规模感染活动时。另外，涉及PowerShell恶意软件的其他恶意活动还包括凭证盗窃和权限升级。

不出Carbon Black所料，2017年其他类型的恶意活动也出现了激增。例如，盗窃加密货币成为个人和企业的主要威胁，尤其是去年第四季度。针对Mac OS的恶意软件在2017年也出现大幅增长，与2016年同期相比，2017年第四季度增长了2.4倍，总数比2016年的数量整整高出了2.43倍。

除了与加密货币有关的恶意软件外，勒索软件的数量也在快速增长，虽然比以前的增长速度慢了，但根据 McAfee的分析，与2016年相比，2017年勒索软件样本增加了5.9倍。其中最厉害的莫过于NotPetya。NotPetya是源自类似Petya的全新形式勒索病毒，可以将硬盘整个加密和锁死，从内存或者本地文件系统里提取密码，NotPetya是利用永恒之蓝漏洞（EternalBlue)进行传播的。

医疗行业在2017年也成为受恶意软件攻击最严重的行业，去年该行业披露的安全事件比2016年增加了2.11倍，这表明攻击者以将医疗行业是为一个高价值的目标，且是容易得手的目标。据McAfee介绍，许多事件都是源于医疗机构未能解决已知的医疗软件漏洞以及未执行正确的安全操作而导致的。