新型代碼注入技術Early Bird來襲,輕鬆繞過Windows hook引擎檢測
前言
近期,Cyberbit的安全研究人員通過對各種惡意軟體樣本進行深入分析,發現了一種名為Early Bird的新型代碼注入技術。
該技術至少被三種不同的惡意軟體利用,攻擊者可以通過這些惡意軟體逃避Windows的檢測。
Early Bird是一種簡單而強大的技術,允許攻擊者在其主線程啟動之前將惡意代碼注入到合法進程,從而避免被大多數反惡意軟體產品所使用的Windows hook引擎檢測到。該技術類似於AtomBombing代碼注入技術,它不依賴於易於檢測的API調用,而是允許惡意軟體以Windows檢測不到的方式將代碼注入進程。
工作原理
Early Bird技術代碼的注入方法依賴於Windows內置的APC(非同步過程調用)函數,該函數允許應用程序在特定線程的上下文中非同步執行代碼。
Early Bird代碼注入的工作原理演示視頻:
http://mmbiz.qpic.cn/mmbiz_png/ndicuTO22p6iboavZVLiaspKqlIJvtmwfHAricFqlicR9086TjOjialyDjOhibJAib6grIdrCibemeulDm1h9a2ibYXsnOxg/0?wx_fmt=png
代碼注入步驟說明
下面介紹攻擊者將惡意代碼注入合法進程的步驟說明:
1. 創建一個合法的Windows進程的暫停進程(例如,svchost.exe);
2. 在該進程中分配內存(svchost.exe)並將惡意代碼寫入分配的內存區域;3. 將非同步過程調用(APC)排隊到該進程的主線程(svchost.exe);
4. 由於APC只能在處於可警告狀態時執行進程,因此只要主線程恢復,就可以調用NtTestAlert函數強制內核執行惡意代碼。
Early Bird相關惡意軟體
據研究人員稱,目前已經發現至少三種使用Early Bird代碼注射技術的惡意軟體:
1. 由伊朗黑客組織(APT33)開發的「Turnned」後門程序;
2. 「Carberp」銀行惡意軟體及其變種;3. 「DorkBot」惡意軟體。
上述三種惡意軟體中,「Turnned」最初由FireEye於2017年9月發現,它能夠從目標系統中泄漏數據,創建反向shell,截取屏幕以及收集系統信息。
「DorkBot」惡意軟體是通過社交媒體、即時通訊應用程序,以及受感染的可移動媒體鏈接分發的殭屍網路惡意軟體。
該惡意軟體用於竊取用戶的在線服務憑據,參與分散式拒絕服務(DDoS)攻擊,發送垃圾郵件並將其他惡意軟體傳送給受害者的計算機。
預防建議
1. 遠離相關惡意軟體,及時更新應用程序;
2. 科學合法上網,避免攻擊者通過惡意網站入侵;
3. 關注「行長疊報」,盡情撩小編。(敲黑板,劃重點)
更多精彩
安裝WordPress的時候別出去旅遊,因為......7大黑客常用挖礦技能科學上網泄露IP?世界那麼大,我還是別看看了李彥宏:中國人更開放,很多人願意用隱私換取便利你家的Siri是智障嗎?光明正大泄露信息!*IDEA值得分享 | 轉載註明出處
http://weixin.qq.com/r/00jcxCrEInddrW6n9x3B (二維碼自動識別)
推薦閱讀: