关键词
网络安全
最近,安全研究人员发现了一项运动,在Windows事件报告中放置有害的恶意软件。这种技术以前从未用于黑客入侵。攻击者可以利用这一战略在文件系统中部署无文件的恶意软件。袭击中装有技术和部件。目标是尽可能保持活动的秘密性质。
Kabaksky的研究人员正在用公司的货物 研究客户的个人电脑这一危险已经通过基于行为的检测和新的控制方法得到验证。采集了恶意软件的样本。调查显示,该软件是“非常有针对性的”运动的一部分。它依赖各种工具。包含定制的和商业上可获取的选项。
据Denis Legezo说,卡巴斯基的首席安全研究员,这是第一次在真正的恶意攻击中使用这一方法。撒递器将合法的操作系统错误处理文件 WerFault 转到“ C: WindowsTasks, ”然后将加密的二进制资源与“ wher.dll” (窗口错误报告) 放在同一目录中 。装上恶意代码 执行DLL搜索序列劫持
DLL劫持是一种黑客入侵利用不足的法律程序进行检查,将恶意动态链接库( DLL) 添加到任何位置的内存 。Legezo说,撒布器的功能是装入磁盘 。用于侧面加载过程,在事件日志中,请查找某些记录(ASCII中的0x4142-“AB”类)。如果没有发现这种记录,它保存了8KB的加密贝壳编码块, 这是世界上最常用的块。这些区块最终被合并到下一个舞台代码中。
根据卡巴斯基最高安全研究员Dmitry Legezo所说, “被遗弃的Wer.dll是装货机, 如果Windows事件日志没有储存贝壳编码, 它不会造成任何伤害。”
END
阅读推荐
如果你看起来漂亮,就告诉大家,如果有用,没关系
获得一条三线线支持“安全圆圈”!