首页 > 安全 > 正文

恶意软件活动将shellcode隐藏到Windows事件日志中

最后更新 :2022.05.07

专家发现了一项恶意软件活动,该活动是第一次使用将壳码隐藏到Windows事件日志中的技术。

2022年2月,来自卡巴斯基的研究人员发现了使用一种新颖的技术,该技术使用了一项新技术,该技术包括隐藏隐藏的新技术Windows事件日志中的ShellCode。该技术允许隐藏无归档的特洛伊木马,专家还注意到,滴管模块还修补了与事件跟踪(ETW)和反恶意软件扫描界面(AMSI)相关的Windows本机API功能(AMSI)。

在2022年2月,我们观察到在恶意运动期间首次“在野外”将壳牌架放入Windows事件日志中的技术。它允许“无归档”的最后一阶段特洛伊木马在文件系统中的普通视线中隐藏。阅读卡巴斯基研究员丹尼斯·莱格佐(Denis Legezo)发表的分析。

专家发现,攻击者正在隐藏包含下一阶段的加密外壳恶意软件作为事件日志中的8KB件。

掉落的wer.dll是一个装载机,如果没有隐藏在Windows事件日志中的ShellCode,则不会造成任何伤害。滴管搜索事件日志以获取具有0x4142类(ASCII中的“ AB”)的记录,并将密钥管理服务作为源。如果找不到,则通过reportevent()Windows API函数(LPRAWDATA参数)将8KB块的ShellCode写入信息记录消息中。继续分析。该启动器由第一个Stager掉入任务目录中,Proxies所有呼叫wer.dll及其出口到原始合法库。在入口点,一个单独的线程将上述所有8KB零件组合到完整的外壳中并运行它。

Windows event logs

该活动背后的攻击者自9月以来可能一直处于活动状态2021年,使用了不同的编译器,从Microsoft的CL.EXE或MINGW下的GCC到最近版本的GO。威胁演员也用来签名避免检测的les。通信机制,通过RC4加密的HTTP,未经命名管道加密。攻击者使用它们进行了广泛的恶意活动,包括执行任意命令,从URL下载文件,升级特权并进行屏幕截图。

我们考虑事件日志技术以前看到,这是本竞选中最具创新性的部分。该活动的演员至少有两种商业产品,以及几种类型的最后一阶段的老鼠和反检测包装纸,这项活动背后的演员非常有能力。我们在这里将某些模块描述为自定义的一些模块也是商业工具集的一部分。该代码非常独特,与已知恶意软件没有相似之处。我们将继续监视similAR活动。总结报告。

请投票给安全事务,作为最佳欧洲网络安全博客作者奖2022奖2022投票给您的获奖者

在“弱者最佳个人(非商业)”部分中投票给我ViewForm



- END -

    数据加载中,请稍后...
看更多