設(shè)置
  • 日夜間
    隨系統(tǒng)
    淺色
    深色
  • 主題色

黑客濫用微軟 Win10 / Win11 上錯誤報告工具,通過 DLL 旁加載技術(shù)運(yùn)行惡意軟件

2023/1/5 14:56:08 來源:IT之家 作者:故淵 責(zé)編:故淵

IT之家 1 月 5 日消息,黑客濫用微軟 Win10 / Win11 系統(tǒng)中內(nèi)置的錯誤報告工具 Windows Problem Reporting(WerFault.exe),通過 DLL 旁加載技術(shù)在受感染設(shè)備的內(nèi)存上運(yùn)行惡意軟件。

黑客首先通過合法的 Windows 可執(zhí)行文件來啟動惡意軟件,整個過程并不會觸發(fā)任何警告,從而隱蔽的感染設(shè)備。K7 Security Labs 安全公司率先發(fā)現(xiàn)了這種攻擊方式。

惡意軟件活動始于一封帶有 ISO 附件的電子郵件。用戶雙擊這個 ISO 文件之后,將自身掛載為一個新的驅(qū)動器盤符,其中包含 Windows WerFault.exe 可執(zhí)行文件的合法副本、一個 DLL 文件(“faultrep.dll”)、一個 XLS 文件(“File.xls”)和一個快捷方式文件('inventory & our specialties.lnk')。

IT之家了解到,受害者通過單擊快捷方式文件啟動感染鏈,該快捷方式文件使用“scriptrunner.exe”來執(zhí)行 WerFault.exe。WerFault 是 Windows 10 和 11 中使用的標(biāo)準(zhǔn) Windows 錯誤報告工具,允許系統(tǒng)跟蹤和報告與操作系統(tǒng)或應(yīng)用程序相關(guān)的錯誤。

防病毒工具通常信任 WerFault,因為它是由 Microsoft 簽名的合法 Windows 可執(zhí)行文件,因此在系統(tǒng)上啟動它通常不會觸發(fā)警報來警告受害者。

啟動 WerFault.exe 之后,該惡意軟件將使用已知的 DLL 側(cè)載缺陷來加載 ISO 中包含的惡意“faultrep.dll”DLL。

通常,'faultrep.dll' 文件是 Microsoft 在 C:\Windows\System32 文件夾中為 WerFault 正確運(yùn)行所需的合法 DLL。但是,ISO 中的惡意 DLL 版本包含用于啟動惡意軟件的附加代碼。

廣告聲明:文內(nèi)含有的對外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。

相關(guān)文章

關(guān)鍵詞:Win11

軟媒旗下網(wǎng)站: IT之家 最會買 - 返利返現(xiàn)優(yōu)惠券 iPhone之家 Win7之家 Win10之家 Win11之家

軟媒旗下軟件: 軟媒手機(jī)APP應(yīng)用 魔方 最會買 要知