社区编辑申请
注册/登录
黑客现利用Windows事件日志来隐藏恶意程序
安全 黑客攻防
调查显示,该恶意软件是一个“非常有针对性”的活动的一部分,并依赖于大量的工具,包括定制的和商业上可用的。

安全研究人员近期注意到一个利用 Windows 事件日志来存储恶意软件的活动,这项技术此前并没有被记录用于黑客攻击。这种方法使攻击者能够在文件系统中植入无文件的恶意软件,这种攻击充满了技术和模块,旨在尽可能保持活动的隐蔽性。

卡巴斯基的研究人员在配备该公司产品的客户电脑上,通过基于行为的检测和异常控制技术确认了这项威胁,并收集了该恶意软件的样本。调查显示,该恶意软件是一个“非常有针对性”的活动的一部分,并依赖于大量的工具,包括定制的和商业上可用的。

卡巴斯基首席安全研究员 Denis Legezo 说,这种方法是在恶意活动中首次在实际攻击中使用。该投放器将合法的操作系统错误处理文件 WerFault.exe 复制到'C:\Windows\Tasks',然后将加密的二进制资源投放到同一位置的'wer.dll'(Windows错误报告),进行DLL搜索顺序劫持以加载恶意代码。

DLL 劫持是一种黑客技术,利用检查不充分的合法程序,从任意路径向内存加载恶意的动态链接库(DLL)。Legezo说,投放器的目的是在磁盘上加载器,用于侧面加载过程,并在事件日志中寻找特定的记录(类别0x4142 - ASCII中的'AB'。如果没有找到这样的记录,它就写下8KB的加密shellcode块,这些块后来被组合成下一个stager的代码。

卡巴斯基首席安全研究员 Denis Legezo 表示:“被丢弃的wer.dll是一个加载器,如果没有隐藏在Windows事件日志中的shellcode,它不会造成任何伤害”。

责任编辑:赵宁宁 来源: 今日头条
相关推荐

2022-05-18 10:58:36

LinuxKali Linux

2022-05-16 13:37:12

Sysrv僵尸网络微软

2022-05-17 14:03:42

勒索软件远程工作

2022-05-16 15:35:00

漏洞黑客

2022-05-20 08:17:43

Java日志

2022-05-26 07:18:54

Windows 11RTM22H2

2022-04-19 13:09:35

恶意软件黑客网络攻击

2022-05-03 23:21:13

安全意识网络安全网络钓鱼

2022-05-26 10:13:22

C/C++GCC插件单元测试

2022-04-26 23:42:08

Windows 10微软升级

2022-05-16 10:41:40

GNOME 42Console控制台

2022-05-13 11:13:22

恶意软件黑客

2022-05-25 10:04:43

Go编程

2022-05-14 08:05:18

Linux内存管理

2022-05-24 14:26:11

云原生数据库云架构

2022-05-21 23:46:16

自动驾驶雷达传感器

2022-05-13 10:24:44

WineWindowsLinux

2022-05-25 10:49:02

云存储云计算

2022-05-17 08:39:05

VueViteTypeScript

2022-05-24 08:21:16

数据安全API

同话题下的热门内容

支付巨头PayPal曝大漏洞,黑客可直接窃取用户资金奥地利、爱沙尼亚重要机构或正成为俄黑客目标

编辑推荐

DDos攻击解析T级攻击态势下解析DDOS高防IP系统架构2019 HackerOne黑客报告:白帽收入最高竟是普通程序员的40倍利用静态分析加固开源入侵检测系统(IDS)的最佳实践如何利用fBox算法检测隐蔽性强的欺诈用户
我收藏的内容
点赞
收藏

51CTO技术栈公众号