Windows|黑客现利用Windows事件日志来隐藏恶意程序
安全研究人员近期注意到一个利用 Windows 事件日志来存储恶意软件的活动,这项技术此前并没有被记录用于黑客攻击 。这种方法使攻击者能够在文件系统中植入无文件的恶意软件,这种攻击充满了技术和模块,旨在尽可能保持活动的隐蔽性 。
文章图片
卡巴斯基的研究人员在配备该公司产品的客户电脑上,通过基于行为的检测和异常控制技术确认了这项威胁,并收集了该恶意软件的样本 。调查显示,该恶意软件是一个“非常有针对性”的活动的一部分,并依赖于大量的工具,包括定制的和商业上可用的 。
卡巴斯基首席安全研究员 Denis Legezo 说,这种方法是在恶意活动中首次在实际攻击中使用 。该投放器将合法的操作系统错误处理文件 WerFault.exe 复制到'C:\Windows\Tasks',然后将加密的二进制资源投放到同一位置的'wer.dll'(Windows错误报告),进行DLL搜索顺序劫持以加载恶意代码 。
文章图片
DLL 劫持是一种黑客技术,利用检查不充分的合法程序,从任意路径向内存加载恶意的动态链接库(DLL) 。Legezo说,投放器的目的是在磁盘上加载器,用于侧面加载过程,并在事件日志中寻找特定的记录(类别0x4142 - ASCII中的'AB' 。如果没有找到这样的记录,它就写下8KB的加密shellcode块,这些块后来被组合成下一个stager的代码 。
【Windows|黑客现利用Windows事件日志来隐藏恶意程序】卡巴斯基首席安全研究员 Denis Legezo 表示:“被丢弃的wer.dll是一个加载器,如果没有隐藏在Windows事件日志中的shellcode,它不会造成任何伤害” 。
推荐阅读
- 硬件|15分钟快充80% 宁德时代:钠离子电池明年实现产业化
- 警告!|Red Canary警告Raspberry Robin恶意软件会通过USB驱动器实现传播
- 字节跳动|强化朋友圈社交:TikTok App底部“发现”替换为“朋友”
- Qualcomm|骁龙7 Gen1跑分数据现身 预计OPPO Reno8系列首发
- Google|Google翻译现允许用户在多台设备上保存历史记录
- Microsoft|新Outlook有望亮相Build大会:将替代现有Windows电子邮件客户端
- 软件和应用|StartAllBack分享概念截图:这些细节微调可让Windows 11更好看更好用
- Windows|微软 Windows 11 彩包零售版已经上架实体店销售
- Tesla|特斯拉汽车的苹果CarPlay树莓派解决方案现在可供下载
- 硬件|GPU行情一览:GeForce现在比MSRP高出14% Radeon仅高出6%