安全研究人员最近注意到一个使用Windows事件日志来存储恶意软件的活动,这种技术以前没有记录在案。这种方法允许攻击者在文件系统中植入无文件恶意软件,这种攻击充满了旨在使活动尽可能隐蔽的技术和模块。卡巴斯基研究人员在配备公司产品的客户计算机上使用基于行为的检测和异常控制技术识别威胁并收集恶意软件样本。调查显示,该恶意软件是“非常有针对性”的活动的一部分,并且依赖于大量定制工具和市售工具。卡巴斯基首席安全研究员DenisLegezo表示,该方法是首次在恶意活动的实际攻击中使用。释放器将合法的操作系统错误处理文件WerFault.exe复制到“C:\Windows\Tasks”,然后将加密的二进制资源释放到同一位置的“wer.dll”(WindowsErrorReporting)进行DLL搜索序列劫持以加载恶意代码。DLL劫持是一种黑客技术,它使用未充分检查的合法程序从任意路径将恶意动态链接库(DLL)加载到内存中。Legezo说dropper的目的是将dropper加载到磁盘上,用于侧载过程,并在事件日志中查找特定记录(类别0x4142-ASCII中的'AB'。如果没有找到这样的记录,它会写8KB的加密shellcode块,后来被组装成下一个stager的代码。卡巴斯基首席安全研究员DenisLegezo说:“释放的wer.dll是一个加载程序,如果没有隐藏在Windows事件日志shellcode中,它确实无害”。
