成人国产在线小视频_日韩寡妇人妻调教在线播放_色成人www永久在线观看_2018国产精品久久_亚洲欧美高清在线30p_亚洲少妇综合一区_黄色在线播放国产_亚洲另类技巧小说校园_国产主播xx日韩_a级毛片在线免费

資訊專欄INFORMATION COLUMN

新的惡意軟件家族使用CLFS日志文件逃避檢測(cè)

王笑朝 / 1280人閱讀

摘要:的安全專家報(bào)告稱,該惡意軟件名為,其安裝程序?yàn)?。這些事務(wù)使應(yīng)用程序能夠在文件系統(tǒng)或注冊(cè)表中實(shí)現(xiàn)很少的更改。

FireEye網(wǎng)絡(luò)安全研究人員透露了他們最近檢測(cè)到的一個(gè)新惡意軟件系列的所有細(xì)節(jié)。

這種惡意軟件依賴于公共日志文件系統(tǒng)(CLFS)來(lái)覆蓋注冊(cè)事務(wù)文件中的第二階段有效載荷,這樣它們就可以輕松地逃避檢測(cè)機(jī)制。

FireEye的安全專家報(bào)告稱,該惡意軟件名為PRIVATELOG,其安裝程序?yàn)镾TASHLOG。威脅行為者的主要?jiǎng)訖C(jī)尚不清楚。

CLFS和交易文件

CLFS是一個(gè)日志框架,由Microsoft在Windows Vista和Windows Server 2003 R2中生成并發(fā)布,這個(gè)日志框架通常呈現(xiàn)應(yīng)用程序和API函數(shù),這些函數(shù)可以在clfsw32.dll中創(chuàng)建、存儲(chǔ)和讀取日志數(shù)據(jù)。

另一方面,內(nèi)核事務(wù)管理器(KTM)主要將CLFS用于事務(wù)性NTFS (TxF)和事務(wù)性注冊(cè)表 (TxR)操作。

這些事務(wù)使應(yīng)用程序能夠在文件系統(tǒng)或注冊(cè)表中實(shí)現(xiàn)很少的更改。但是,所有這些都安排在一個(gè)事務(wù)中,可以很容易地提交或回滾。

惡意軟件混淆

根據(jù)調(diào)查報(bào)告,幾乎所有PRIVATE LOG和STASHLOG使用的字符串都被混淆了,但重要的一點(diǎn)是,在惡意軟件中觀察到的方法相當(dāng)罕見(jiàn)。

安全專家宣稱,這些方法依賴于用硬編碼的內(nèi)聯(lián)字節(jié)對(duì)每個(gè)字節(jié)進(jìn)行異或運(yùn)算,沒(méi)有特定的循環(huán),因此這個(gè)惡意軟件的每個(gè)字符串都用唯一的字節(jié)流進(jìn)行加密。

存儲(chǔ)有效載荷

啟動(dòng)后,安裝程序會(huì)打開(kāi)并解密作為爭(zhēng)用傳輸?shù)奈募娜績(jī)?nèi)容。

不僅如此,它還確認(rèn)文件已使用其SHA1哈希作為后綴,然后僅通過(guò)使用系統(tǒng)內(nèi)存中收集的GlobalAtom GUID字符串創(chuàng)建相同的56字節(jié)值。

但是,56字節(jié)的值是經(jīng)過(guò)哈希處理的SHA1,前16字節(jié)已形成初始化向量 (IV)。但是,主鍵是來(lái)自主機(jī)注冊(cè)表的16字節(jié)MachineGUID值,加密算法是HC-128,這種算法很少被威脅行為者使用。

進(jìn)入私人日志

此外,Mandiant的安全分析是一個(gè)沒(méi)有混淆的64位DLL,名為prntvpt.dll,它包括模擬合法的prntvpt.dll文件的導(dǎo)出。PRIVATELOG通常通過(guò)劫持DLL搜索順序從PrintConfig.dll加載,這是PrintNotify服務(wù)的中心DLL。

不僅如此,PRIVATELOG使用一種非常獨(dú)特的方式來(lái)執(zhí)行DLL有效負(fù)載,并且根據(jù)報(bào)告,有效負(fù)載依賴NTFS事務(wù)。

可見(jiàn)惡意軟件一直在探索新的技術(shù)以躲過(guò)軟件查殺工具和安全防御設(shè)備?!皵嘲滴颐鳌保W(wǎng)絡(luò)犯罪分子總可以找到超越安全防護(hù)設(shè)備的新手段。軟件檢測(cè)及分析工具要和惡意軟件同步需要一定時(shí)間,但企業(yè)及組織機(jī)構(gòu)的安全意識(shí)必須提高起來(lái),要積極主動(dòng)去防御新出現(xiàn)的技術(shù)和惡意軟件攻擊。通過(guò)加強(qiáng)軟件自身安全防御能力,從底層源代碼安全檢測(cè)做起,減少安全漏洞及代碼缺陷等問(wèn)題,不給惡意軟件可乘之機(jī)。Wukong(悟空)靜態(tài)代碼檢測(cè)工具,從源碼開(kāi)始,為您的軟件安全保駕護(hù)航!

參讀鏈接:

www.woocoom.com/b021.html?i…

gbhackers.com/new-malware…

文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/119569.html

相關(guān)文章

  • 研究人員警告說(shuō),新的惡意軟件可以規(guī)避和卸載云安全軟件

    摘要:新的惡意軟件壓力可以規(guī)避和卸載云安全軟件,研究人員警告說(shuō),好消息是您的組織終于開(kāi)始安裝一些頂級(jí)云安全工具。,意識(shí)到現(xiàn)有的云監(jiān)控和安全產(chǎn)品可能會(huì)檢測(cè)到可能的惡意軟件入侵,惡意軟件作者繼續(xù)創(chuàng)建新的規(guī)避技術(shù),以避免被云安全產(chǎn)品檢測(cè)到。新的惡意軟件壓力可以規(guī)避和卸載云安全軟件,研究人員警告說(shuō),好消息是:您的組織終于開(kāi)始安裝一些頂級(jí)云安全工具。壞消息:惡意軟件已經(jīng)開(kāi)發(fā)出來(lái)了,它可以逃避他們的檢測(cè)。Th...

    Scott 評(píng)論0 收藏0

  • LockFile勒索軟件使用前所未有的加密技術(shù)逃避檢測(cè)

    摘要:而且此前從未見(jiàn)過(guò)在勒索軟件攻擊中使用間歇性加密。在那里發(fā)現(xiàn)了勒索軟件的主要功能,第一部分初始化了一個(gè)加密庫(kù),可能將其用于其加密功能。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;color:#333}.markdown-body ...

    DandJ 評(píng)論0 收藏0

  • 金融科技行業(yè)網(wǎng)絡(luò)安全威脅概覽

    摘要:在眾多端點(diǎn)威脅中,針對(duì)金融部門的最常見(jiàn)的持續(xù)攻擊是網(wǎng)絡(luò)釣魚(yú)和勒索軟件攻擊。通過(guò)研究,影響金融行業(yè)的勒索軟件攻擊和數(shù)據(jù)泄露的趨勢(shì)表明,勒索軟件組是最活躍的。針對(duì)金融機(jī)構(gòu)的累計(jì)攻擊次數(shù)達(dá)起,涉及個(gè)勒索軟件組織。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;ove...

    xietao3 評(píng)論0 收藏0

  • 系統(tǒng)潛入后門分析

    摘要:在這個(gè)案例里,這些是欺騙性的功能,它們似乎有一個(gè)唯一目的,即混淆自動(dòng)檢測(cè)系統(tǒng),反病毒軟件,或者那些甚至嘗試手工分析這些程序樣本的分析人員。受害機(jī)器的處于所規(guī)定的地址空間,攻擊者是無(wú)法通過(guò)到達(dá)的。 初始傳染手段?-?Nuclear?Pack 已經(jīng)有一些其他的文章介紹過(guò)Nuclear?Pack破解工具包??赡芩€不像g10pack或者BlackHole這些工具那么流行,也沒(méi)有像CoolE...

    forrest23 評(píng)論0 收藏0

發(fā)表評(píng)論

0條評(píng)論

最新活動(dòng)
閱讀需要支付1元查看
<