攻击者利用事件日志来隐藏无文件恶意软件

发布时间：2025-12-07 15:21:10 作者：玩站小弟

我要评论

研究人员发现了一个恶意攻击活动，攻击者利用了一种以前从未见过的攻击技术在目标机器上悄悄地植入了进行无文件攻击的恶意软件。该技术是将shell代码直接注入到了Windows事件日志中。卡巴斯基周三发布的。

研究人员发现了一个恶意攻击活动，攻击攻击者利用了一种以前从未见过的利志隐攻击技术在目标机器上悄悄地植入了进行无文件攻击的恶意软件。

该技术是用事将shell代码直接注入到了Windows事件日志中。卡巴斯基周三发布的藏无一份研究报告显示，这使得攻击者可以利用Windows事件日志为恶意的文件木马程序做掩护。

研究人员在2月份发现了这一攻击活动，恶意并认为这个身份不明的软件攻击者在过去的一个月里一直在进行攻击活动。

卡巴斯基全球研究和分析团队的攻击高级安全研究员写道，我们认为这种以前从未见过的高防服务器利志隐事件日志攻击技术是这个攻击活动中最有创新的部分。

该攻击活动背后的用事攻击者使用了一系列的注入工具和反侦测技术来传递恶意软件的有效载荷。Legezo写道，藏无攻击者在活动中至少使用了两种商业产品，文件再加上几种最后阶段的恶意RAT和反检测壳，这个攻击活动背后的软件攻击者相当有能力。

进行无文件攻击的攻击恶意软件隐藏在事件日志内

攻击的第一阶段是亿华云要将目标引诱到一个合法的网站，并诱使目标下载一个压缩的.RAR文件，该文件其实是Cobalt Strike和SilentBreak网络渗透测试工具生成的后门文件。这两个工具在黑客中很受欢迎，他们用其生成针对目标机器进行攻击的工具。

Cobalt Strike和SilentBreak利用了单独的反侦测AES加密器，并用Visual Studio进行编译。

然而Cobalt Strike模块的数字证书是各不相同的服务器租用 。根据卡巴斯基的说法，从包装器到最后一个阶段总共15个不同的分阶段都有数字证书进行签署。

接下来，攻击者就可以利用Cobalt Strike和SilentBreak来向任何进程注入代码，并可以向Windows系统进程或可信的应用程序（如DLP）注入额外的模块。

他们说，通过这层感染链解密，就可以映射到内存中并启动代码。

由于它可以将恶意软件注入到系统内存内，所以我们将其归类为无文件攻击。顾名思义，源码库进行无文件攻击的恶意软件感染目标计算机时，它们不会在本地硬盘上留下任何文件痕迹，这使得它很容易避开传统的基于签名进行检测的安全取证工具。攻击者将其攻击活动隐藏在了计算机的随机访问内存中，并使用了PowerShell和Windows Management Instrumentation（WMI）等本地Windows工具，其实这种攻击技术并不新鲜。

然而，此次攻击最有特点的是将包含恶意有效载荷的加密shellcode嵌入到了Windows事件日志中。为了避免被研究人员发现，香港云服务器该代码被分成了多块，每块8KB ，并将其保存在了事件日志中。

Legezo说，投放者不仅将启动器放在了磁盘上进行加载，而且还将带有shellcode的信息写到了现有的Windows KMS事件日志中。

他继续说，被丢弃的wer.dll是一个加载器，如果shellcode没有隐藏在Windows事件日志中，就不会造成任何伤害，该加载器在事件日志中会搜索类别为0x4142（ASCII中的 "AB"）并且来源为密钥管理服务的云计算记录。如果没有找到，8KB的shellcode就会通过ReportEvent() Windows API函数（lpRawData参数）写入到所记录的信息中。

接下来，一个启动器会被投放到Windows任务目录中。研究人员写道，此时，一个单独的线程会将上述所有的8KB的碎片组合成一个完整的shellcode并运行它。

研究人员补充说，攻击活动中的事件日志不仅仅能够存储shellcode，Dropper模块还具有修补Windows本地API的功能，这与事件追踪（ETW）和反恶意软件扫描接口（AMSI）有关，这样可以使得感染过程更加隐蔽。

使用载荷的攻击者身份尚不明确

利用这种隐蔽的方法，攻击者可以使用他们的两个远程访问特洛伊木马（RAT）中的任何一个，其中每一个都使用了定制的复杂的代码以及公开可用的组件。

总的来说，由于他们有能力使用特洛伊木马向任何进程注入代码，攻击者可以自由地大量的使用这一功能，向Windows系统进程或受信任的应用程序注入下一个模块。

网络空间中的资产归属划分是很有挑战性的。对此分析师能做的就是深入挖掘攻击者的战术、技术和应用程序（TTPs），以及他们编写的代码。如果这些TTPs或代码与以前的已知行为者的攻击活动相重叠，我们可能会因此找到攻击者的身份。

在这种情况下，研究人员的查找过程会很难的。

这是因为，攻击者除了使用了在Windows事件日志中注入shellcode这一前所未有的技术外，这次攻击活动还有一个非常独特的组成部分：代码本身。虽然攻击者使用了商业产品来投放恶意文件，但与他们配对的反侦测包装器和RATs却是定制的（不过，研究人员警告说，一些我们所认为是定制的模块，如包装器和最后处理程序，也可能是商业产品的一部分）。

根据该报告，代码是非常独特的，并且与已知的恶意软件没有相似之处。由于这个原因，研究人员目前还没有确定攻击者的身份。

如果出现了新的模块，并且我们将该活动与某些行为者能够联系起来，我们将会相应地更新名称。

本文翻译自： https://threatpost.com/attackers-use-event-logs-to-hide-fileless-malware/179484/如若转载，请注明原文地址。

Tag：

新的 Wi-Fi 漏洞通过降级攻击进行网络窃听
据英国TOP10VPN的一份最新研究报告指出，一种基于 IEEE 802.11 Wi-Fi 标准中的设计缺陷能够允许攻击者诱导用户连接至不安全的网络，进而对用户进行网络窃听。报告指出，该缺陷是基于CV
2025-12-07
探索XMOS方案的应用及优势（基于XMOS方案的创新技术推动智能设备）
近年来，随着智能设备的不断普及和发展，人们对于更高性能、更多功能的需求也与日俱增。而XMOS方案作为一种创新的技术方案，通过其卓越的性能和灵活的可编程特性，成为了应对智能设备的有效工具。本文将通过分析
2025-12-07
三星G22W评测（揭秘三星G22W的卓越性能与强大功能，发现专业显示器的魅力）
三星G22W是一款专业显示器，拥有出色的细节表现和强大的功能，为用户带来极致的视觉体验。本文将从不同的角度对三星G22W进行全面评测，揭示其卓越的性能和令人惊艳的细节，让我们一起来探索这款专业显示器的
2025-12-07
糖果手机F7的品质如何？（一款可靠的选择）
如今市场上有各种各样的手机品牌和型号，消费者在购买手机时面临着众多选择。而糖果手机F7作为一款备受关注的产品，它的品质如何？接下来我们将从多个方面来评估其性能和质量。外观设计精美，符合时尚潮流糖果手机
2025-12-07
Ticketmaster 5.6 亿用户信息泄露案结果出炉，Snowflake 或是泄密源头
日前，一个臭名昭著的黑客组织声称窃取了 5.6 亿用户的信息，并索价 50 万美元。Ticketmaster 母公司 Live Nation Entertainment 在提交给美国证券交易委员会的一
2025-12-07
探索takara的品牌魅力（揭示takara在创新科技和可持续发展方面的领先地位）
作为一家著名的科技公司，takara在全球范围内享有盛誉。本文将深入挖掘takara在创新科技和可持续发展方面的卓越表现，揭示其在行业中的领先地位。takara：引领创新科技的先锋takara以其独特
2025-12-07