PoS端恶意软件LockPoS再次苏醒 携来新型代码注入技术

“用指尖改变世界”

以色列网络安全公司Cyberbit的研究人员表示,通过僵尸网络Flokibot分发的PoS端恶意软件LockPoS已经从一段时间的沉睡中苏醒,并携带新型代码注入技术重新回到人们的视线中。

LockPoS最初在去年7月份,由Arbor Networks Security 的安全研究员发现并进行了详尽的分析。在之前的分析中,LockPoS通过利用直接注入到explorer.exe 进程中的滴管组件进行传播。

值得注意的是,LockPoS必须通过手动加载来执行。在执行后,它会从自身提取相关资源文件并继续执行相关任务。这些资源文件包含了多个组件,这些组件会再注入到 explorer.exe 进程中去,充当第二阶段的加载器。紧接着,恶意代码会进行解密、解压以及加载最终的 LockPoS payload。

LockPoS会收集多种类型的数据,这包括用户名、计算机名、bot ID、bot 版本(1.0.0.6)、CPU、物理内存、显示设备、Windows 版本与架构等重要信息。它通过HTTP与命令和控制(C&C)服务器进行通信,一旦感染目标系统,就会向服务器发送这些信息。

Cyberbit的研究人员观察到,LockPoS正在使用一种新的代码注入技术。这种代码注入技术与僵尸网络Flokibot之前使用的注入技术很相似,但LockPoS使用了不同的API调用。

研究人员解释说,这种技术涉及使用NtCreateSection在内核中创建一个节对象,调用NtMapViewOfSection将该节的视图映射到另一个进程中,将代码复制到该节并使用NtCreateThreadEx或CreateRemoteThread创建一个远程线程来执行映射的代码。

LockPoS被观察到使用三个主要的例程注入代码到远程进程,即NtCreateSection、NtMapViewOfSection和NtCreateThreadEx。值得注意的是,这三个例程都是从Windows操作系统中的核心动态链接库(DLL)文件ntdll.dll导出的。

ntdll.dll是Windows操作系统的核心dll文件,它是从用户空间到内核空间的一种门户。带有“Nt”前缀的ntdll例程是本地Windows API的一部分

LockPoS并不会将三个例程都调用,而是将ntdll.dll从磁盘映射到自己的虚拟地址空间,从而允许它维护DLL文件的“干净”副本。LockPoS还分配一个缓冲区来保存系统呼叫号码,将恶意代码复制到共享映射区,然后在explorer.exe中创建一个远程线程来执行其恶意代码。

通过使用这种“无声”的代码注入技术,LockPoS可以逃避反恶意软件可能安装在ntdll.dll上的挂钩,从而提高攻击的成功率。

Cyberbit的恶意软件分析师Hod Gavriel解释说:“这种新型代码注入技术表明,一种新的趋势可能正在形成,以新的方式来使用旧的序列,使检测变得更加困难。”

尽管大多数端点检测和响应(EDR)解决方案和下一代防病毒产品已经在用户模式下监视Windows功能,但是在Windows 10中,内核空间仍然保持不变,所以内核功能无法被监控。

目前来说,最好的检测方法是集中精力改善内存分析,这可能会非常棘手,但是这些是目前安全解决方案所能获得的最好痕迹。

本文由黑客视界综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20180105B06X4L00?refer=cp_1026

同媒体快讯

相关快讯

扫码关注云+社区