最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

黑客滥用Windows错误报告工具部署恶意软件

网络安全 快米云 来源:28U.CC 159浏览

红色飞溅上的 Windows 徽标

黑客滥用 Windows 问题报告 (WerFault.exe) 错误报告工具,使用 DLL 旁加载技术将恶意软件加载到受感染系统的内存中。

使用此 Windows 可执行文件是通过合法的 Windows 可执行文件启动恶意软件,从而在不对被破坏的系统发出任何警报的情况下隐蔽地感染设备。

K7 Security Labs发现了新的活动 ,该实验室无法识别黑客,但据信他们位于中国。

滥用 WerFault.exe

恶意软件活动始于一封带有 ISO 附件的电子邮件。双击时,ISO 将自身挂载为一个新的驱动器盘符,其中包含 Windows WerFault.exe 可执行文件的合法副本、一个 DLL 文件(“faultrep.dll”)、一个 XLS 文件(“File.xls”)和一个快捷方式文件(’inventory & our specialties.lnk’)。

ISO 中包含的文件
ISO
来源中包含的文件:K7 Labs

受害者通过单击快捷方式文件启动感染链,该快捷方式文件使用“scriptrunner.exe”来执行 WerFault.exe。

WerFault 是 Windows 10 和 11 中使用的标准 Windows 错误报告工具,允许系统跟踪和报告与操作系统或应用程序相关的错误。

Windows 使用该工具报告错误并接收潜在的解决方案建议。

防病毒工具通常信任 WerFault,因为它是由 Microsoft 签名的合法 Windows 可执行文件,因此在系统上启动它通常不会触发警报来警告受害者。

当启动 WerFault.exe 时,它​​将使用 已知的 DLL 侧载缺陷 来加载 ISO 中包含的恶意“faultrep.dll”DLL。

通常,’faultrep.dll’ 文件是 Microsoft 在 C:\Windows\System 文件夹中为 WerFault 正确运行所需的合法 DLL。但是,ISO 中的恶意 DLL 版本包含用于启动恶意软件的附加代码。

创建与合法 DLL 同名的恶意 DLL 以便加载它的技术称为 DLL sideloading。

DLL sideloading 要求 DLL 的恶意版本与调用它的可执行文件位于同一目录中。当可执行文件启动时,只要它具有相同的名称,Windows 就会优先于其本机 DLL。

在此攻击中加载 DLL 时,它将创建两个线程,一个将 Pupy Remote Access Trojan 的 DLL (‘dll_pupyx64.dll’) 加载到内存中,另一个打开包含的 XLS 电子表格作为诱饵。

完整的感染链
完整的感染链
来源:K7 Labs

 Pupy RAT 是一种用 Python 编写的开源和 公开可用的恶意软件,它支持反射 DLL 加载以逃避检测,并且稍后会下载其他模块。

该恶意软件允许威胁行为者获得对受感染设备的完全访问权限,使他们能够执行命令、窃取数据、安装更多恶意软件或通过网络横向传播。

作为一种开源工具,它已被 伊朗 APT33 和 APT35 组织等多个国家支持的间谍活动参与者使用 ,因为这些工具使归属和持续操作更难追踪。

去年夏天, QBot 恶意软件分发者被发现采用了 类似的攻击链 ,滥用 Windows 计算器来逃避安全软件的检测。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 黑客滥用Windows错误报告工具部署恶意软件