武器化开源软件用于定向袭击
发布时间:2022-08-26 11:18:21 所属栏目:安全 来源:互联网
导读:木马化的开源软件是很难发现的,因为它利用了合法的、非恶意的软件,因此对定向攻击非常有用。但是,进一步调研发现了暴露恶意意图的可疑行为。 研究人员在一次事件的分析中发现了一个名为notepad.exe 的文件。因为 Notepad 是一款知名的合法应用程序。因此
 木马化的开源软件是很难发现的,因为它利用了合法的、非恶意的软件,因此对定向攻击非常有用。但是,进一步调研发现了暴露恶意意图的可疑行为。 研究人员在一次事件的分析中发现了一个名为notepad.exe 的文件。因为 Notepad 是一款知名的合法应用程序。因此,一些恶意软件作者通过使用合法软件的名字来对恶意文件进行伪装以绕过检测。 这些代码有很多的相似之处。但是,恶意的Notepad++ 文件有一些额外的用于加载加密的blob文件(config.dat)的代码。加密的代码解密并在内存中执行后就可以执行后门行为。 研究人员一共发现了2个使用相同加载器但使用不同payload的实例,其中一个payload是TrojanSpy.Win32.LAZAGNE.B,另一个payload是Ransom.Win32.EXX.YAAK-B (Defray勒索软件)。进一步调查发现其他使用相同加载器的blob 文件可以加载不同的payload。 研究人员怀疑该文件是用于定向水坑攻击中了。在初期的机器被感染后,通过管理员分享传播恶意notepad++ 和config.dat。该notepad.exe 文件来自于恶意源头,与Notepad和Notepad++.exe的官方发布源没有任何关系。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号