手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中

恶意软件加载器通过“天堂之门”技术规避安全检测

来源:本站整理 作者:佚名 时间:2019-07-02 TAG: 我要投稿

来自思科Talos团队的安全研究人员近日发现了经过特殊设计的恶意软件加载器,可在受感染的设备上通过注入内存来释放恶意负载,规避防病毒软件和其他安全工具的检测。

思科安全专家表示,该恶意软件加载器使用了流传已久的“天堂之门(Heaven’s Gate)技术实现,该技术能够让32位应用运行于64位系统上时隐藏API调用,进而实现一系列设计功能。恶意软件的开发人员将其作为对抗安全软件的有效手段添加到他们的”产品“之中,可大幅延后恶意软件被安全软件检测到的时间节点。
这款恶意软件加载器已经被发现用于多个不同类型的恶意软件攻击活动中,包括 HawkEye Reborn键盘记录器、 Remcos远程访问工具(RAT)和多个基于XMR的挖矿软件。
这样的情况揭示了一种趋势,即网络犯罪分子并不需要太高超的研发能力就能把类似”Heaven’s Gate“的高级技术添加到恶意软件中,进而大幅提高网络攻击的成功率。下图就是一个很好的例子。

RegAsm劫持
正如思科Talos研究人员所发现的那样,恶意软件负载隐藏经过封装和混淆的加载器,该加载器将解压缩并利用”进程空洞“将其注入合法的RegAsm.exe进程中。RegAsm.exe将由处于挂起状态的恶意软件加载器创建,随后其内存将被取消?#25104;?#24182;替换为恶意负载,也就是说加载器释放的恶意负载不会写入受感染设备的磁盘,安全软件很难检测到它。
根据思科专家的说法,这种攻击技术无法通过传统的安全软件和主动防御技术彻底防御,因为它基于操作系统本身自带的功能实现。 举个例子,如果通过技术手段减少特定API调用可能会产生副作用,首当其冲的就是安全软件的正常运行无法得到保障。
此外,除了前面提到的混淆技术之外,该恶意软件加载器还通过在32位系统上使用sysenter指令和x64系统上的Heaven’s Gate技术使用直接系统调用来模糊一些API调用。如此一来,恶意代码能够在32位和64位系统之间转换,导致一些调试器和防病毒软件完全”错过“这些调用活动,只要攻击人员避免在提供WOW64支持的64位系统上运行32位应用并直接启动针对64位应用的调用即可。

32位代码转换为64位代码
再举一个例子,安全研究人员发现传播该恶意加载器的广告软件系统使用”Malspam欺诈邮件”作为分发渠道,该欺诈邮件攻击滥用Microsoft公式编辑器的CVE-2017-11882 Microsoft Office内存损坏远程执行代码漏洞。恶意软件会伪装成使用Microsoft Word文档和Microsoft Excel生成的发票、银行对?#23454;?#21644;其他相关文档,附件被打开后积灰从攻击者控制的服务器下载恶意软件加载器。
此类攻击活动的活跃度越来越高,每天?#21152;?#26032;的受感染设?#24863;?#24687;被上传到攻击者控制的服务器。
 

【声明】:黑吧安全网(http://www.rliwo.live)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱[email protected],我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载
        购买彩票权威网址
        手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中
        凯蒂卡巴拉投注 北京赛车pk10开奖周波 四灵猴闹京师 大批丧尸来袭林正英花4000万 幸运双星大奖爆 野性孟加拉虎怎么玩 22选5大星彩票走势图 94期一码中特大公开 点点币为什么归零 马赛vs亚眠历史