几个月前,一种在合法Microsoft Windows进程中运行的恶意有效负载的攻击被发现。攻击者滥用了DLL搜索顺序来加载自己的恶意DLL。该环境中的某些示例与FireEye最近发布的关于FIN7的新工具和技术(特别是BOOSTWRITE)中描述的示例相匹配。将其余样本与BOOSTWRITE进行比较,发现它们具有通用的代码库,并带有Carbanak后门。
Windows操作系统使用一种通用方法来查找要加载到程序中的所需DLL。攻击者可能使用此行为来导致程序加载恶意DLL,该技术被称为DLL搜索顺序劫持(或二进制植入)。
滥用的应用程序是FaceFodUninstaller.exe。它从Windows 10 RS4(1803)开始在全新OS安装中的“%WINDR%\ System32 \ WinBioPlugIns”文件夹中。该可执行文件依赖于winbio.dll,该文件通常在父目录(“%WINDR%\ System32”)中。