Process Doppelgänging
https://hk.saowen.com/a/859a81b087f9607e0fe42e136d94795ec2901660d6d803b7cf98ec3481127bd8
樣本分析 | Osiris中使用的Process Doppelgänging和Process Hollowing技術
https://hk.saowen.com/a/ca97695f62b1864556bc091c99eeb0f269391dece32b9d3c449e0409fa27456c
模仿合法進程通常是惡意軟件作者最喜歡使用的技術,因為這可以允許他們運行惡意模塊而不被殺毒軟件察覺。多麼多年來,各種各樣的技術層出不窮,他們也更加接近了這個目標。這個話題也被研究者和逆向工程師所津津樂道,因為其對於Windows API的使用也非常有創意。
Process Doppelgänging是一種模仿進程的新技術,該技術於去年Black Hat會議公開,Process Doppelgienging與Process Hollowing的技術有些相似,但是有一個不同的地方,它利用了Windows的NTFS Transactions機制。
在此之後,一個叫SynAck的勒索軟件被發現利用這種技術實現惡意目的,儘管Process Doppelgänging在野並不常見,我們最近還是在Osiris銀行木馬(Kronos的新版本)中發現了一些類似特徵。仔細分析後,我們發現原始的技術已經被進一步定製化了。
實際上,惡意軟件作者已將ProcessDoppelgänging和Process Hollowing中的技術結合使用,並選擇兩種技術的最佳部分來創建更強大的組合。在這篇文章中,我們仔細研究瞭如何在受害機器上部署Osiris,這要歸功於一個有趣的Loader。
#Process Doppelgänging, Process Hollowing, Windows API, Loader, 攻擊, 方式, 流程
https://hk.saowen.com/a/859a81b087f9607e0fe42e136d94795ec2901660d6d803b7cf98ec3481127bd8
樣本分析 | Osiris中使用的Process Doppelgänging和Process Hollowing技術
https://hk.saowen.com/a/ca97695f62b1864556bc091c99eeb0f269391dece32b9d3c449e0409fa27456c
模仿合法進程通常是惡意軟件作者最喜歡使用的技術,因為這可以允許他們運行惡意模塊而不被殺毒軟件察覺。多麼多年來,各種各樣的技術層出不窮,他們也更加接近了這個目標。這個話題也被研究者和逆向工程師所津津樂道,因為其對於Windows API的使用也非常有創意。
Process Doppelgänging是一種模仿進程的新技術,該技術於去年Black Hat會議公開,Process Doppelgienging與Process Hollowing的技術有些相似,但是有一個不同的地方,它利用了Windows的NTFS Transactions機制。
在此之後,一個叫SynAck的勒索軟件被發現利用這種技術實現惡意目的,儘管Process Doppelgänging在野並不常見,我們最近還是在Osiris銀行木馬(Kronos的新版本)中發現了一些類似特徵。仔細分析後,我們發現原始的技術已經被進一步定製化了。
實際上,惡意軟件作者已將ProcessDoppelgänging和Process Hollowing中的技術結合使用,並選擇兩種技術的最佳部分來創建更強大的組合。在這篇文章中,我們仔細研究瞭如何在受害機器上部署Osiris,這要歸功於一個有趣的Loader。
#Process Doppelgänging, Process Hollowing, Windows API, Loader, 攻擊, 方式, 流程
留言
張貼留言