歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

惡意軟件加載器通過“天堂之門”技術規避安全檢測

來源:本站整理 作者:佚名 時間:2019-07-02 TAG: 我要投稿

來自思科Talos團隊的安全研究人員近日發現了經過特殊設計的惡意軟件加載器,可在受感染的設備上通過注入內存來釋放惡意負載,規避防病毒軟件和其他安全工具的檢測。

思科安全專家表示,該惡意軟件加載器使用了流傳已久的“天堂之門(Heaven’s Gate)技術實現,該技術能夠讓32位應用運行于64位系統上時隱藏API調用,進而實現一系列設計功能。惡意軟件的開發人員將其作為對抗安全軟件的有效手段添加到他們的”產品“之中,可大幅延后惡意軟件被安全軟件檢測到的時間節點。
這款惡意軟件加載器已經被發現用于多個不同類型的惡意軟件攻擊活動中,包括 HawkEye Reborn鍵盤記錄器、 Remcos遠程訪問工具(RAT)和多個基于XMR的挖礦軟件。
這樣的情況揭示了一種趨勢,即網絡犯罪分子并不需要太高超的研發能力就能把類似”Heaven’s Gate“的高級技術添加到惡意軟件中,進而大幅提高網絡攻擊的成功率。下圖就是一個很好的例子。

RegAsm劫持
正如思科Talos研究人員所發現的那樣,惡意軟件負載隱藏經過封裝和混淆的加載器,該加載器將解壓縮并利用”進程空洞“將其注入合法的RegAsm.exe進程中。RegAsm.exe將由處于掛起狀態的惡意軟件加載器創建,隨后其內存將被取消映射并替換為惡意負載,也就是說加載器釋放的惡意負載不會寫入受感染設備的磁盤,安全軟件很難檢測到它。
根據思科專家的說法,這種攻擊技術無法通過傳統的安全軟件和主動防御技術徹底防御,因為它基于操作系統本身自帶的功能實現。 舉個例子,如果通過技術手段減少特定API調用可能會產生副作用,首當其沖的就是安全軟件的正常運行無法得到保障。
此外,除了前面提到的混淆技術之外,該惡意軟件加載器還通過在32位系統上使用sysenter指令和x64系統上的Heaven’s Gate技術使用直接系統調用來模糊一些API調用。如此一來,惡意代碼能夠在32位和64位系統之間轉換,導致一些調試器和防病毒軟件完全”錯過“這些調用活動,只要攻擊人員避免在提供WOW64支持的64位系統上運行32位應用并直接啟動針對64位應用的調用即可。

32位代碼轉換為64位代碼
再舉一個例子,安全研究人員發現傳播該惡意加載器的廣告軟件系統使用”Malspam欺詐郵件”作為分發渠道,該欺詐郵件攻擊濫用Microsoft公式編輯器的CVE-2017-11882 Microsoft Office內存損壞遠程執行代碼漏洞。惡意軟件會偽裝成使用Microsoft Word文檔和Microsoft Excel生成的發票、銀行對帳單和其他相關文檔,附件被打開后積灰從攻擊者控制的服務器下載惡意軟件加載器。
此類攻擊活動的活躍度越來越高,每天都有新的受感染設備信息被上傳到攻擊者控制的服務器。
 

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺