安全研究人員近期注意到一個利用 Windows 事件日誌來存儲惡意軟件的活動,這項技術此前並沒有被記錄用於黑客攻擊。這種方法使攻擊者能夠在文件系統中植入無文件的惡意軟件,這種攻擊充滿了技術和模塊,旨在儘可能保持活動的隱蔽性。
卡巴斯基的研究人員在配備該公司產品的客戶電腦上,通過基於行為的檢測和異常控制技術確認了這項威脅,並收集了該惡意軟件的樣本。調查顯示,該惡意軟件是一個“非常有針對性”的活動的一部分,並依賴於大量的工具,包括定製的和商業上可用的。
卡巴斯基首席安全研究員 Denis Legezo 說,這種方法是在惡意活動中首次在實際攻擊中使用。該投放器將合法的操作系統錯誤處理文件 WerFault.exe 複製到’C:WindowsTasks’,然後將加密的二進制資源投放到同一位置的’wer.dll’(Windows錯誤報告),進行DLL搜索順序劫持以加載惡意代碼。
DLL 劫持是一種黑客技術,利用檢查不充分的合法程序,從任意路徑向內存加載惡意的動態鏈接庫(DLL)。Legezo說,投放器的目的是在磁盤上加載器,用於側面加載過程,並在事件日誌中尋找特定的記錄(類別0x4142 – ASCII中的’AB’。如果沒有找到這樣的記錄,它就寫下8KB的加密shellcode塊,這些塊後來被組合成下一個stager的代碼。
卡巴斯基首席安全研究員 Denis Legezo 表示:“被丟棄的wer.dll是一個加載器,如果沒有隱藏在Windows事件日誌中的shellcode,它不會造成任何傷害”。