黑客开始使用双 DLL 侧载来逃避检测

news2024/11/15 13:26:57

 

一个名为“Dragon Breath”、“Golden Eye Dog”或“APT-Q-27”的 APT 黑客组织正在展示一种新趋势,即使用经典 DLL 旁加载技术的多种复杂变体来逃避检测。

这些攻击变体从一个初始向量开始,该向量利用一个干净的应用程序,最常见的是 Telegram,它侧载第二阶段的有效负载,有时也是干净的,这反过来又侧载恶意软件加载程序 DLL。

受害者的诱饵是木马化的 Telegram、LetsVPN 或适用于 Android、iOS 或 Windows 的 WhatsApp 应用程序,这些应用程序据称已针对中国人进行了本地化。被木马化的应用程序被认为是使用 BlackSEO 或恶意广告进行推广的。

据 跟踪威胁行为者近期攻击的Sophos 分析师 称,该活动的目标范围集中在中国、日本、中国台湾、新加坡、香港和菲律宾的讲中文的 Windows 用户。

双 DLL 侧载

DLL sideloading 是一种自 2010 年以来被攻击者利用的技术,利用 Windows 加载应用程序所需的 DLL(动态链接库)文件的不安全方式。

攻击者在应用程序的目录中放置一个与所需的合法 DLL 同名的恶意 DLL。当用户启动可执行文件时,Windows 会优先考虑本地恶意 DLL,而不是系统文件夹中的恶意 DLL。

攻击者的 DLL 包含在此阶段加载的恶意代码,通过利用加载它的受信任、签名的应用程序为攻击者提供特权或在主机上运行命令。

在此活动中,受害者执行上述应用程序的安装程序,该程序会在系统上放置组件并创建桌面快捷方式和系统启动条目。

如果受害者尝试启动新创建的桌面快捷方式,这是预期的第一步,而不是启动应用程序,则会在系统上执行以下命令。

该命令运行重命名版本的“regsvr32.exe”(“appR.exe”)以执行重命名版本的“scrobj.dll”(“appR.dll”)并提供 DAT 文件(“appR.dat”)作为输入它。DAT 包含由脚本执行引擎库(“appR.dll”)执行的 JavaScript 代码。

JavaScript 代码在前台启动 Telegram 应用程序用户界面,同时在后台安装各种侧载组件。

接下来,安装程序使用干净的依赖项('libexpat.dll')加载第二阶段的应用程序,以加载第二个干净的应用程序作为中间攻击阶段。

在攻击的一种变体中,干净的应用程序“XLGame.exe”被重命名为“Application.exe”,第二阶段加载器也是一个干净的可执行文件,由北京百度网通科技有限公司签名。

在另一个变体中,第二阶段的干净加载程序是“KingdomTwoCrowns.exe”,它没有经过数字签名,Sophos 无法确定它除了混淆执行链之外还有什么优势。

在攻击的第三种变体中,第二阶段加载程序是干净的可执行文件“d3dim9.exe”,由惠普公司进行数字签名。

这种“双 DLL 侧载”技术实现了规避、混淆和持久化,使防御者更难适应特定的攻击模式并有效地屏蔽他们的网络。

最终有效载荷

在所有观察到的攻击变体中,最终的有效负载 DLL 从 txt 文件('templateX.txt')中解密并在系统上执行。

这个 payload 是一个支持多种命令的后门,例如系统重启、注册表项修改、获取文件、窃取剪贴板内容、在隐藏的 CMD 窗口上执行命令等等。

该后门还针对 MetaMask 加密货币钱包 Chrome 扩展程序,旨在窃取受害者的数字资产。

总之,DLL 侧载仍然是黑客的一种有效攻击方法,也是微软和开发人员十多年来未能解决的一种方法。

在最新的 APT-Q-27 攻击中,分析师观察到难以跟踪的 DLL 侧载变体;因此,他们实现了更隐蔽的感染链。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/498406.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

vue_组件基础

单文件组件 Vue 单文件组件&#xff08;又名 *.vue 文件&#xff0c;缩写为 SFC&#xff09;是一种特殊的文件格式&#xff0c;它允许将 Vue 组件的模板、逻辑 与 样式封装在单个文件中 <template><h3>单文件组件</h3> </template><script> ex…

asp.net+c#操作系统课程在线教学平台

1&#xff0e;系统登录&#xff1a;系统登录是用户访问系统的路口&#xff0c;设计了系统登录界面&#xff0c;包括用户名、密码和验证码&#xff0c;然后对登录进来的用户判断身份信息&#xff0c;判断是管理员用户还是普通用户。 2&#xff0e;系统用户管理&#xff1a;不管是…

答疑解惑:开发者必须彻底搞懂的 SSL/TLS 协议

简介 本期答疑解惑将和大家一起认识SSL/TLS 协议。请尝试回答以下几个问题&#xff1a; 使用浏览器访问https网站和http网站有什么不同&#xff1f;SSL协议作用于网络模型的哪一层&#xff1f;你知道CSDN&#xff0c;博客园正在使用的是什么类型的SSL证书吗&#xff1f;SSL&a…

汇编实现LED循环点亮(延时子程序模板)

在单片机P2口外接8个发光二极管(低电平驱动)。试编写一个汇编程序&#xff0c;实现LED循环点亮功能:P2.0-P2.1-P2.2-P2.3-…-P2.7-P2.6-P25-…-P2.0的顺序&#xff0c;无限循环。要求采用软件延时方式控制闪烁时间间隔(约50ms)。 首先进行电路设计 电路原理图设计 利用 Prot…

php+vue影视电影视频点播推荐avxhe系统

影视推荐系统的主要使用者分为管理员和用户&#xff0c;实现功能包括管理员&#xff1a;首页、个人中心、用户管理、公告信息管理、电影分类管理、影视推荐管理、付费点播管理、点播信息管理、管理员管理、系统管理&#xff0c;用户&#xff1a;首页、个人中心、付费点播管理、…

数字化转型导师坚鹏:企业数字化领导力提升之道

企业数字化领导力提升之道 ——融合中西智慧&#xff0c;践行知行合一思想&#xff0c;实现知行果合一 课程背景&#xff1a; 很多企业存在以下问题&#xff1a; 不知道如何领导面临的数字化时代&#xff1f; 不清楚企业数字化领导力模型的内涵&#xff1f; 不知道如何…

开关电源基础02:基本开关电源拓扑(1)-BUCK拓扑

说在开头&#xff1a;关于海森堡的矩阵&#xff08;1&#xff09; 我们前面说了&#xff0c;海森堡和泡利到了哥本哈根跟着玻尔混&#xff0c;在哥本哈根海森堡感到了一种竞争的气氛&#xff1a;他在德国少年得志&#xff0c;是出了名的天才&#xff0c;现在突然发现身边的每一…

Python每日一练:圆桌争风吃醋的豚鼠韩信点兵(全一行代码解法)

文章目录 前言一、圆桌二、争风吃醋的豚鼠三、韩信点兵总结 前言 很显然&#xff0c;Python的受众远远大于C&#xff0c;其实笔者本人对Python的理解也是远强于C的&#xff0c;C纯粹是为了假装笔者是个职业选手才随便玩玩的&#xff0c;借着十多年前学的C的功底&#xff0c;强…

01、爬虫js逆向之-七麦数据

目标网址&#xff1a;aHR0cHM6Ly93d3cucWltYWkuY24vcmFuay9pbmRleC9icmFuZC9hbGwvZGV2aWNlL2lwaG9uZS9jb3VudHJ5L2NuL2dlbnJlLzM2 &#xff08;需要进行ba64解码即可获取到参数&#xff09; 需要逆向的加密参数&#xff1a;analysis 1、点击数据接口&#xff0c;触发请求 2、点…

2022年NOC大赛编程马拉松赛道复赛图形化低年级A卷-正式卷,包含答案

目录 选择题: 多选题: 编程题: 下载文档打印做题: 2022年NOC大赛编程马拉松赛道复赛图形化低年级A卷-正式卷 2022NOC-图形化复赛低年级A卷正式卷

天地气运流转,皆在五行生克中

在中国的传统文化里&#xff0c;常讲“气运”二字&#xff0c;把两字分开&#xff0c;便是气数与命运。 在现代人的观念里&#xff0c;气运是个复杂又抽象的概念。 天地五行之气轮流转&#xff0c;一切都在五行生克中。 而古人的方法&#xff0c;是通过五行的变化来描述气运的流…

Promise类方法

这篇主要讲一下Promise的类方法的基本使用&#xff0c;至于Promise的基本使用这里就不赘述了&#xff0c;之前也有手写过Promise、实现了Promise的核心逻辑。其实我们平时用Promise也挺多的&#xff0c;不过又出现了两个新的语法&#xff08;ES11&#xff0c;ES12新增了两个&am…

Gradle使用

下载Gradle Gradle Distributions 配置环境变量 测试是否成功 cmd输入gradle -v 在.gradle目录下创建一个init.gradle allprojects { repositories { maven { url file:///D:/maven/myRepository} ## 这里是本地maven仓库地址,没有就会依次向下设置的地址寻…

wisp5学习日记1

这里写目录标题 编译工程问题一 LSD-FET430UIF仿真器排针方向与所给排针方向示意图不一致&#xff0c;不知怎么方向问题2 拟器或仿真器无法找到连接到计算机的USB FET 编译工程 鼠标右键选择build project 问题一 LSD-FET430UIF仿真器排针方向与所给排针方向示意图不一致&…

【Java基础 2】Java 基础语法

&#x1f34a; Java学习&#xff1a;社区快速通道 文章目录 1 变量与基本数据类型1.1 变量1.2 数据类型1.3 标识符1.4 类型转换1.5 关键字大全 2 二进制概述3 方法4 运算符4.1 算术运算符4.2 赋值运算符4.3 关系运算符4.4 逻辑运算符4.5 字符串连接运算符4.6 三目运算符 5 命名…

配置JDK环境变量

文章目录 查看电脑系统下载及安装JavaSE配置系统环境变量测试环境变量配置是否成功。 查看电脑系统 运行输入框中输入&#xff1a;control 下载及安装JavaSE 这个从网上下载就行&#xff0c;jdk-8u141-windows-x64.exe&#xff0c;不提供下载方式了。 主要讲解安装过程&a…

AI 工具合辑盘点(十二)持续更新 之 面向学生群体的 AI 工具和面向所有人的 AI 工具

面向学生群体的 AI 工具 人工智能在教育领域可以发挥多种作用。例如&#xff0c;它可以用于个性化课程、检测抄袭、转录讲座和促进教师与学生之间的快速沟通等等。 教育面临着许多挑战&#xff0c;这些人工智能工具可以帮助教师和学生。这些 AI 可以替代手动工作、降低人为错…

图解HTTP

文章目录 第一章、了解web及网络基础HTTP 的诞生网络基础 TCP/IPTCP/IP 协议族层次化的好处应用层传输层网络层链路层&#xff08;又名数据链路层&#xff0c;网络接口层&#xff09; 数据传输流举例&#xff1a; 与HTTP关系密切的协议&#xff1a;IP、TCP和DNS负责传输的 IP 协…

Simulink 自动代码生成电机控制:开发板DAC接口辅助调试的方法

目录 前言 DAC基本原理 PWM模拟DAC DAC底层代码配置 DAC调试演示 总结 前言 DAC是比较常用的数字转模拟单元&#xff0c;通过给定数字量&#xff0c;输出一个模拟信号&#xff0c;有比较广泛的用途&#xff0c;在这里只讨论DAC作为一个调式手段帮助打印出电机控制里面的一…

【大学物理实验】实验报告数据

写在前面&#xff1a; 1&#xff1a;本文章收集CAU的18个大学物理实验的实验数据&#xff0c;仅供参考。&#xff08;因为本人很讨厌竞速实验orz&#xff09; 2&#xff1a;实验之间的差距&#xff0c;不如负责老师之间的差距。以及需要考虑机考的虚拟实验你会不会做。&#…