返回目录:电脑怎么了
以色列【以色列国(希伯来语:מְדִינַת יִשְׂרָאֵל ;阿拉伯语:دولة إِسْرَائِيل ),简称“以色列”。】网络安全公司Cyberbit的研究人员表示,通过僵尸网络Flokibot分发的PoS端恶意软件LockPoS已经从一段时间的沉睡中苏醒,并携带新型代码注入技术重新回到人们的视线中。
LockPoS最初在去年7月份,由Arbor Networks Security 的安全研究员发现并进行了详尽的分析。在之前的分析中,LockPoS通过利用直接注入到explorer.exe 进程中的滴管组件进行传播。
值得注意的是,LockPoS必须通过手动加载来执行。在执行后,它会从自身提取相关资源文件并继续执行相关任务。这些资源文件包含了多个组件,这些组件会再注入到 explorer.exe 进程中去,充当第二阶段的加载器。紧接着,恶意代码会进行解密、解压以及加载最终的 LockPoS payload。
LockPoS会收集多种类型的数据,这包括用户名、计算机名、bot ID【ID是英文IDentity的缩写,身份标识号码的意思。】、bot 版本(1.0.0.6)、CPU、物理内存【物理内存(Physical memory)是相对于虚拟内存而言的。】、显示设备、Windows【Microsoft Windows,是美国微软公司研发的一套操作系统,它问世于1985年,起初仅仅是Microsoft-DOS模拟环境,后续的系统版本由于微软不断的更新升级,不但易用,也慢慢的成为家家】 版本与架构等重要信息。它通过HTTP与命令和控制(C&C)服务器进行通信,一旦感染目标系统,就会向服务器发送这些信息。
Cyberbit的研究人员观察到,LockPoS正在使用一种新的代码注入技术。这种代码注入技术与僵尸网络Flokibot之前使用的注入技术很相似,但LockPoS使用了不同的API调用。
研究人员解释说,这种技术涉及使用Nt【Microsoft Windows NT(New Technology)是Microsoft在1993年推出的面向工作站、网络服务器和大型计算机的网络操作系统,也可做PC操作系统。】CreateSection在内核中创建一个节对象,调用NtMapViewOfSection将该节的视图映射到另一个进程中,将代码复制到该节并使用NtCreateThreadEx或CreateRemoteThread创建一个远程线程来执行映射的代码。
LockPoS被观察到使用三个主要的例程注入代码到远程进程,即NtCreateSection、NtMapViewOfSection和NtCreateThreadEx。值得注意的是,这三个例程都是从Windows操作系统【Microsoft Windows,是美国微软公司研发的一套操作系统,它问世于1985年,起初仅仅是Microsoft-DOS模拟环境,后续的系统版本由于微软不断的更新升级,不但易用,也慢慢的成为家家户户人们最喜爱的操作系统。】中的核心动态链接库【它是DynamicLinkLibrary的缩写形式,动态链接库(DLL)是作为共享函数库的可执行文件。】(DLL【延迟锁相环(Delay—locked Loop,简称DLL)技术是在PLL技术上改进得到的,被广泛应用于时序领域中。】)文件ntdll.dll导出的。
ntdll.dll是Windows操作系统的核心dll文件,它是从用户空间到内核空间的一种门户。带有“Nt”前缀的ntdll例程是本地Windows API的一部分。
LockPoS并不会将三个例程都调用,而是将ntdll.dll从磁盘映射到自己的虚拟地址空间,从而允许它维护DLL文件的“干净”副本。LockPoS还分配一个缓冲区来保存系统呼叫号码,将恶意代码复制到共享映射区,然后在explorer.exe中创建一个远程线程来执行其恶意代码。
通过使用这种“无声”的代码注入技术,LockPoS可以逃避反恶意软件可能安装在ntdll.dll上的挂钩,从而提高攻击的成功率。
Cyberbit的恶意软件分析师Hod Gavriel解释说:“这种新型代码注入技术表明,一种新的趋势可能正在形成,以新的方式来使用旧的序列,使检测变得更加困难。”
尽管大多数端点检测和响应(EDR)解决方案和下一代防病毒产品已经在用户模式下监视Windows功能,但是在Windows 10中,内核空间仍然保持不变,所以内核功能无法被监控。
目前来说,最好的检测方法是集中精力改善内存分析,这可能会非常棘手,但是这些是目前安全解决方案所能获得的最好痕迹。
本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。