“新的Windows恶意软件隐藏在Plain Sight中”
这些日子似乎都需要企业品牌。 这样,可以很容易地引用本来就不太容易识别的东西。 因此,多个安全研究人员开始为发现命名,但也可能会带来一些混乱。 这是本周早些时候微软defender高级威胁防范研究小组和cisco talos给同一个恶意软件取了两个不同的名字。
微软将其命名为nodersok。 思科talos将其命名为pergent。 无论名字如何,新恶意软件都采用陆地移动技术,这些技术将合法工具重新用于恶意目的。 这些重用的工具被称为陆地移动二进制文件或简单称为lolbins,被称为无文件恶意软件的软件可以避免大多数windows安全产品使用的检测功能。
微软对nodersok感染方法的评价如下。
就像astaroth战役一样,感染链的每一步只能执行合法的lolbins,从计算机本身( mshta.exe,powershell.exe )或从第三方下载的lolbins ) node .。 可以从winpert.dll / sys )执行的关联功能位于脚本和shellcode中,这些脚本和shellcode几乎总是加密、解密和只在内存中执行。 不会将恶意的可执行文件写入磁盘。
对于这些恶意软件,将安装node.exe和winpert作为其lolbins。 这些是合法的应用程序。 正如微软所说,前者是无数web应用程序采用的常见node.js框架的windows实现,后者是强大的互联网数据包捕获和解决实用程序。 两者一般都是无害的,但nodersok的作者可以建立无文件恶意软件。
微软表示,7月中旬看到nodersok的第一个指标,同时在最近几周里缠绕了千万台机器,大部分目标都在美国和欧洲。 受影响的系统大部分是支出类设备。 思科talos相信,恶意软件目前正在积极开发。 这是因为,我们注意到多个版本的加载器被用于安装两个名称的恶意软件。
恶意软件的名字并不是微软和思科talos唯一同意的事件。 他们同意nodersok / pergent通过恶意广告发布,然后下载到可以安装所需lolbins的系统上,但恶意软件的用途不同。 微软认为这是为了转播恶意流量。 思科Talos声称恶意软件运营商想将其用于点击诈骗。 在企业的公开中可以发现越来越多的新闻。
免责声明:学习富国网免费收录各个行业的优秀中文网站,提供网站分类目录检索与关键字搜索等服务,本篇文章是在网络上转载的,本站不为其真实性负责,只为传播网络信息为目的,非商业用途,如有异议请及时联系btr2031@163.com,本站的工作人员将予以删除。