前言

近期，Cyberbit的安全研究人員通過對各種惡意軟體樣本進行深入分析，發現了一種名為Early Bird的新型代碼注入技術。

該技術至少被三種不同的惡意軟體利用，攻擊者可以通過這些惡意軟體逃避Windows的檢測。

Early Bird是一種簡單而強大的技術，允許攻擊者在其主線程啟動之前將惡意代碼注入到合法進程，從而避免被大多數反惡意軟體產品所使用的Windows hook引擎檢測到。

該技術類似於AtomBombing代碼注入技術，它不依賴於易於檢測的API調用，而是允許惡意軟體以Windows檢測不到的方式將代碼注入進程。

工作原理

Early Bird技術代碼的注入方法依賴於Windows內置的APC（非同步過程調用）函數，該函數允許應用程序在特定線程的上下文中非同步執行代碼。

Early Bird代碼注入的工作原理演示視頻：

http://mmbiz.qpic.cn/mmbiz_png/ndicuTO22p6iboavZVLiaspKqlIJvtmwfHAricFqlicR9086TjOjialyDjOhibJAib6grIdrCibemeulDm1h9a2ibYXsnOxg/0?wx_fmt=png

代碼注入步驟說明

下面介紹攻擊者將惡意代碼注入合法進程的步驟說明：

1. 創建一個合法的Windows進程的暫停進程（例如，svchost.exe）；

2. 在該進程中分配內存（svchost.exe）並將惡意代碼寫入分配的內存區域；

3. 將非同步過程調用（APC）排隊到該進程的主線程（svchost.exe）；

4. 由於APC只能在處於可警告狀態時執行進程，因此只要主線程恢復，就可以調用NtTestAlert函數強制內核執行惡意代碼。

Early Bird相關惡意軟體

據研究人員稱，目前已經發現至少三種使用Early Bird代碼注射技術的惡意軟體：

1. 由伊朗黑客組織（APT33）開發的「Turnned」後門程序；

2. 「Carberp」銀行惡意軟體及其變種；3. 「DorkBot」惡意軟體。

上述三種惡意軟體中，「Turnned」最初由FireEye於2017年9月發現，它能夠從目標系統中泄漏數據，創建反向shell，截取屏幕以及收集系統信息。

「DorkBot」惡意軟體是通過社交媒體、即時通訊應用程序，以及受感染的可移動媒體鏈接分發的殭屍網路惡意軟體。

該惡意軟體用於竊取用戶的在線服務憑據，參與分散式拒絕服務（DDoS）攻擊，發送垃圾郵件並將其他惡意軟體傳送給受害者的計算機。

預防建議

1. 遠離相關惡意軟體，及時更新應用程序；

2. 科學合法上網，避免攻擊者通過惡意網站入侵；

3. 關注「行長疊報」，盡情撩小編。（敲黑板，劃重點）

更多精彩

安裝WordPress的時候別出去旅遊，因為......?

mp.weixin.qq.com7大黑客常用挖礦技能?

mp.weixin.qq.com科學上網泄露IP？世界那麼大，我還是別看看了?

mp.weixin.qq.com李彥宏：中國人更開放，很多人願意用隱私換取便利?

mp.weixin.qq.com你家的Siri是智障嗎？光明正大泄露信息！?

mp.weixin.qq.com

*IDEA值得分享 | 轉載註明出處

http://weixin.qq.com/r/00jcxCrEInddrW6n9x3B (二維碼自動識別)

推薦閱讀：