安全企业SentinelOne表示,这些网络威胁组织所使用的方法能让攻击者将RAT有效负载注入内存并避免被杀毒软件检测到,即使是那些仅关注文件威胁的现代技术也不例外。
安全研究人员分析后发现一些文件已被写入磁盘,但恶意有效负载从来不会以不加密的方式触碰该磁盘。多个亚洲国家黑客组织使用了这种技术,虽然攻击似乎都发生在亚洲范围内,但也有可能这种技术已被传播到世界其他地方,用以攻击政府和企业。研究人员发现了名为NanoCore的RAT攻击,它允许攻击者对受害者进行监控。然而,专家表示该方法可用于传播任何类型的RAT。
恶意软件首次在系统中执行时,会在%APPDATA%文件夹中创建两个二进制并予以执行。负责解压并注入RAT的加密DLL被解密并被复制到内存中。这个DLL的设置以及NanoCore可执行文件本身是加密的并且以像素数据的方式存储在多个PNG图像文件中。
一旦所有元件被解密,NanoCore有效负载就会被注入利用多个Win32 API和系统调用的新进程中。无文件感染技术出现在多种类型的攻击中,包括利用工具包、勒索软件以及点击欺诈恶意软件攻击等。
【声明】:8090安全小组门户(https://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。
发表评论