最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

合法Windows WerFault.exe背后的威胁行为者注入RAT

网络安全 快米云 314浏览

  • 威胁行为者现在滥用合法的 Windows WerFault.exe 报告功能,使用一种新方法来执行名为 Pupy 的 RAT。
  • Pupy 是一种开源多平台远程访问木马 (RAT),被高级持续威胁 (APT) 组织利用。
  • 动态链接库 (DLL) 侧载是一种越来越流行的网络攻击方法,它利用了 Microsoft Windows 应用程序处理 DLL 的方式。

威胁参与者使用了一种新技术来滥用 Windows WerFault.exe报告功能。Werfault 是负责监控应用程序问题的日志记录和报告以帮助用户的系统。这是错误报告程序中的一个步骤。虽然WerFault.exe是合法的 Windows 服务,但威胁行为者使用它来执行远程访问木马。

下面是它的工作原理

K7 安全实验室最近发现了一个 ISO 映像。ISO 由 4 个文件组成,Windows 的合法WerFault.exe 、一个名为faultrep.dll的有害 DLL 、一个名为recent inventory & our specialties.lnk 的快捷方式文件和一个名为File.xls的 XLS 文件。当目标运行快捷方式文件时,ISO 中的 WerFault.exe 将通过命令行使用scriptrunner.exe LOLBin执行。

Faultrep.dll本质上是WerFault.exe使用的 DLL 的名称,位于标准 Windows 文件夹中。当WerFault.exe运行时,它使用 DLL 旁加载技术从 ISO 加载Faultrep.dll,并且与原始 DLL 一样,具有虚拟导出函数WerpInitiateCrashReporting。这个恶意的Faultrep.dll是在C盘编译的。

当成功加载 DLL 时,将创建两个线程。一个将Pupy远程管理工具的 DLL(“dll_pupyx64.dll”)加载到内存中,另一个打开包含的 XLS 表。

感染链 |  小老鼠

感染完成后,攻击者将获得对目标设备的完全访问权限,他们将能够远程执行命令、在网络中传播并窃取数据。

 

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 合法Windows WerFault.exe背后的威胁行为者注入RAT