【安全资讯】美国NSA验证器木马植入过程分析
“验证器”(Validator)木马是NSA“酸狐狸”漏洞攻击武器平台默认使用的标配后门恶意程序。研究人员通过私有化引擎关联本地收集到到的互联网公开样本数据,获取到三枚相关样本,样本包裹体利用autorun.exe执行,主要负责利用内核漏洞提权以及加载“验证器”木马。7月22日,研究人员发布报告,介绍了对植入加载过程的分析。
- 过程一:创建名称为“prkMtx”的互斥体,创建隐藏窗口,利用漏洞本地提权。
- 过程二:创建名称为"gmw2896"互斥体,检测被植入计算机,下述安装的软件,获取操作系统目录wininet.dll的修改时间,并在system32目录下创建ee.dll,将修改时间修改为获取到的wininet.dll时间,并设置文件为归档,加载dll。
- 过程三:ee.dll使用API转发机制对com组件进行劫持,被过程2加载后在dllmain代码中将自身拷贝为actxprxy32.dll后并删除ee.dll,使用枚举进程映像模块与遍历进程两种方式遍历No与Bx开头的5个进程,安装com组件,植入explorer.exe与svchost.exe进程工作。
失陷指标(IOC)147
这么重要的IOC情报,赶紧
登录
来看看吧~
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享