研究人员发现,攻击者通过木马化开源软件,如Notepad++,进行定向攻击。恶意文件notepad.exe伪装成合法应用,利用ntoskrnl.exe释放,并通过搜索config.dat执行后门行为。攻击者可能通过开源软件源代码添加恶意功能,使检测变得困难。建议用户从官方渠道下载软件,企业应验证文件校验和。
木马化的开源软件是很难发现的,因为它利用了合法的、非恶意的软件,因此对定向攻击非常有用。但是,进一步调研发现了暴露恶意意图的可疑行为。
调查分析
研究人员在一次事件的分析中发现了一个名为notepad.exe 的文件。因为 Notepad 是一款知名的合法应用程序。因此,一些恶意软件作者通过使用合法软件的名字来对恶意文件进行伪装以绕过检测。
图 1. 可疑的notepad.exe 文件
notepad.exe 文件是通过ntoskrnl.exe 可执行文件来释放的,这是Windows NT 操作系统kernel 可执行文件。奇热这一过程可疑通过利用ntoskrnl.exe 或网络共享来实现。根据数据分析,研究人员认为本例中攻击者使用的网络共享方式。通过RCA 分析,研究人员发现恶意 notepad.exe 文件通过调用以下工具完成了一些可疑的操作:
表 1. 可执行文件名和函数
notepad.exe文件到这些进程和函数的链接表明改文件是一个典型的后门,会从恶意远程用户处获取命令。notepad.exe的属性如下所示:
<
最低0.47元/天 解锁文章
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
