数据观澜系统运维
快捷导航
您的位置:首页>IT资讯>>攻击者利用事件日志来隐藏无文件恶意软件 >

攻击者利用事件日志来隐藏无文件恶意软件

  发布时间:2025-12-07 14:48:20   作者:玩站小弟   我要评论
研究人员发现了一个恶意攻击活动,攻击者利用了一种以前从未见过的攻击技术在目标机器上悄悄地植入了进行无文件攻击的恶意软件。该技术是将shell代码直接注入到了Windows事件日志中。卡巴斯基周三发布的 。

研究人员发现了一个恶意攻击活动,攻击攻击者利用了一种以前从未见过的利志隐攻击技术在目标机器上悄悄地植入了进行无文件攻击的恶意软件。

该技术是用事将shell代码直接注入到了Windows事件日志中 。卡巴斯基周三发布的藏无一份研究报告显示 ,这使得攻击者可以利用Windows事件日志为恶意的文件木马程序做掩护。

研究人员在2月份发现了这一攻击活动 ,恶意并认为这个身份不明的软件攻击者在过去的一个月里一直在进行攻击活动  。

卡巴斯基全球研究和分析团队的攻击高级安全研究员写道 ,我们认为这种以前从未见过的免费模板利志隐事件日志攻击技术是这个攻击活动中最有创新的部分。

该攻击活动背后的用事攻击者使用了一系列的注入工具和反侦测技术来传递恶意软件的有效载荷 。Legezo写道,藏无攻击者在活动中至少使用了两种商业产品,文件再加上几种最后阶段的恶意RAT和反检测壳,这个攻击活动背后的软件攻击者相当有能力  。

进行无文件攻击的攻击恶意软件隐藏在事件日志内

攻击的第一阶段是高防服务器要将目标引诱到一个合法的网站,并诱使目标下载一个压缩的.RAR文件,该文件其实是Cobalt Strike和SilentBreak网络渗透测试工具生成的后门文件。这两个工具在黑客中很受欢迎,他们用其生成针对目标机器进行攻击的工具 。

Cobalt Strike和SilentBreak利用了单独的反侦测AES加密器,并用Visual Studio进行编译 。

然而Cobalt Strike模块的数字证书是各不相同的源码下载。根据卡巴斯基的说法,从包装器到最后一个阶段总共15个不同的分阶段都有数字证书进行签署。

接下来,攻击者就可以利用Cobalt Strike和SilentBreak来向任何进程注入代码 ,并可以向Windows系统进程或可信的应用程序(如DLP)注入额外的模块 。

他们说 ,通过这层感染链解密,就可以映射到内存中并启动代码。

由于它可以将恶意软件注入到系统内存内 ,所以我们将其归类为无文件攻击。顾名思义 ,模板下载进行无文件攻击的恶意软件感染目标计算机时 ,它们不会在本地硬盘上留下任何文件痕迹  ,这使得它很容易避开传统的基于签名进行检测的安全取证工具 。攻击者将其攻击活动隐藏在了计算机的随机访问内存中 ,并使用了PowerShell和Windows Management Instrumentation(WMI)等本地Windows工具,其实这种攻击技术并不新鲜。

然而,此次攻击最有特点的是将包含恶意有效载荷的加密shellcode嵌入到了Windows事件日志中。为了避免被研究人员发现 ,服务器租用该代码被分成了多块,每块8KB ,并将其保存在了事件日志中 。

Legezo说 ,投放者不仅将启动器放在了磁盘上进行加载 ,而且还将带有shellcode的信息写到了现有的Windows KMS事件日志中 。

他继续说 ,被丢弃的wer.dll是一个加载器,如果shellcode没有隐藏在Windows事件日志中,就不会造成任何伤害,该加载器在事件日志中会搜索类别为0x4142(ASCII中的 "AB")并且来源为密钥管理服务的亿华云记录 。如果没有找到,8KB的shellcode就会通过ReportEvent() Windows API函数(lpRawData参数)写入到所记录的信息中 。

接下来 ,一个启动器会被投放到Windows任务目录中。研究人员写道 ,此时 ,一个单独的线程会将上述所有的8KB的碎片组合成一个完整的shellcode并运行它。

研究人员补充说,攻击活动中的事件日志不仅仅能够存储shellcode,Dropper模块还具有修补Windows本地API的功能,这与事件追踪(ETW)和反恶意软件扫描接口(AMSI)有关,这样可以使得感染过程更加隐蔽 。

使用载荷的攻击者身份尚不明确

利用这种隐蔽的方法  ,攻击者可以使用他们的两个远程访问特洛伊木马(RAT)中的任何一个,其中每一个都使用了定制的复杂的代码以及公开可用的组件。

总的来说,由于他们有能力使用特洛伊木马向任何进程注入代码 ,攻击者可以自由地大量的使用这一功能,向Windows系统进程或受信任的应用程序注入下一个模块。

网络空间中的资产归属划分是很有挑战性的  。对此分析师能做的就是深入挖掘攻击者的战术、技术和应用程序(TTPs),以及他们编写的代码 。如果这些TTPs或代码与以前的已知行为者的攻击活动相重叠,我们可能会因此找到攻击者的身份。

在这种情况下,研究人员的查找过程会很难的 。

这是因为 ,攻击者除了使用了在Windows事件日志中注入shellcode这一前所未有的技术外 ,这次攻击活动还有一个非常独特的组成部分  :代码本身 。虽然攻击者使用了商业产品来投放恶意文件 ,但与他们配对的反侦测包装器和RATs却是定制的(不过,研究人员警告说,一些我们所认为是定制的模块 ,如包装器和最后处理程序 ,也可能是商业产品的一部分)。

根据该报告,代码是非常独特的 ,并且与已知的恶意软件没有相似之处 。由于这个原因 ,研究人员目前还没有确定攻击者的身份。

如果出现了新的模块 ,并且我们将该活动与某些行为者能够联系起来,我们将会相应地更新名称 。

本文翻译自  : https://threatpost.com/attackers-use-event-logs-to-hide-fileless-malware/179484/如若转载 ,请注明原文地址 。

  • Tag:

相关文章

  • 关于网络安全预算的事实和误解

    在本文中,你将找到我们在2023年涵盖的网络安全预算调查的摘录,这些发现将使你的公司能够制定更有效的网络安全战略。大多数网络安全投资没有充分利用自己的优势即使预算不断增加,成本优化仍然是全球IT和安全
    2025-12-07

  • win10更新后蓝牙连不上

    win10更新后蓝牙连不上一般情况都是设置上的问题,不会出现更新系统让硬件损坏的情况,一般就是驱动不兼容和设置的问题,下面来看看详细的解决教程。win10更新后无法上网 win10更新后很卡怎么办 w
    2025-12-07

  • win10安装固态硬盘后频繁卡死怎么解决

    我们在使用win10操作系统电脑的时候,有的情况下电脑可能会发生卡顿死机的情况。有的小伙伴想要改善这个问题就在自己的电脑上安装了固态硬盘,但是发现并没有想象中那么理想。对于win10安装固态硬盘后频繁
    2025-12-07

  • iso系统文件怎么用u盘安装win10

    我们在准备使用U盘为自己的电脑进行系统重装的时候,有的小伙伴们可能就想要知道iso格式的系统文件怎么用u盘安装win10。那么据小编所知我们可以通过在电脑技术网 Tagxp.com网站下载我们所需要的
    2025-12-07

  • 德国警方关闭该国最大的地下犯罪市场论坛

    inforisktoday网站消息,德国警方表示,在历时2年的调查后,他们逮捕了该国最大的网络犯罪地下市场之一的幕后操纵者,并查封了其网站域名。上周,杜塞尔多夫的执法部门宣布,他们已经成功关闭了Cri
    2025-12-07

  • windows1019587版本更新了什么

    就在微软公司推出了win10系统之后,也是在不断的更新升级新的系统。那么对于这一次,微软在再次推出了新的系统版本windows1019587版本。那么对于这个版本更新了什么内容,根据小编得到的最新消息
    2025-12-07

最新评论