Bromium研究人员在2019年7月观察到的Dridex的新变种,其伪装成合法的Windows系统进程以逃避检测,并使用五种代码注入技术:AtomBombing、DLL路径顺序劫持、进程替换、PE注入和线程执行劫持。攻击活动首先通过垃圾邮件附带的加密的Microsoft Word 97-2003文档传播,然后启用VBA宏下载XSL脚本,子例程包含引用WMIC命令的反向字符串以逃避静态检测。下载器使用WMIC执行嵌入JScript的XSL脚本,释放Dridex加载器。解包后,Dridex寻找可执行文件,并在挂起模式下运行合法windows二进制文件。Dridex可执行代码注入explorer.exe,然后释放恶意DLL并执行计划任务。Dridex试图通过创建一个带有尾随空格的目录来逃避应用程序白名单的检测。
趋势科技研究人员发现物联网(IoT)恶意软件Mirai的新样本。与之前的Mirai变种相同的是,新样本允许攻击者通过IP摄像头和DVR等物联网设备中的暴露端口和默认凭据,进行远程访问和控制,并允许攻击者通过各种方法使用受感染设备进行分布式拒绝服务(DDoS)攻击和数据报协议(UDP)泛洪攻击。与之前变种不同的是,新样本的命令和控制(C2)服务器被置于Tor网络中来保持匿名。Tor网络使用Socks5协议,配置值由XOR用0x22(34)加密并嵌入到它的二进制文件中,在解密时,其包含字符串“LONGNOSE: applet not found”。
发表于 2019-8-1 20:50
