【安全资讯】美国NSA验证器木马植入过程分析

匿名用户 2022-07-22 07:34:15 1908人浏览

“验证器”(Validator)木马是NSA“酸狐狸”漏洞攻击武器平台默认使用的标配后门恶意程序。研究人员通过私有化引擎关联本地收集到到的互联网公开样本数据,获取到三枚相关样本,样本包裹体利用autorun.exe执行,主要负责利用内核漏洞提权以及加载“验证器”木马。7月22日,研究人员发布报告,介绍了对植入加载过程的分析。

  • 过程一:创建名称为“prkMtx”的互斥体,创建隐藏窗口,利用漏洞本地提权。
  • 过程二:创建名称为"gmw2896"互斥体,检测被植入计算机,下述安装的软件,获取操作系统目录wininet.dll的修改时间,并在system32目录下创建ee.dll,将修改时间修改为获取到的wininet.dll时间,并设置文件为归档,加载dll。
  • 过程三:ee.dll使用API转发机制对com组件进行劫持,被过程2加载后在dllmain代码中将自身拷贝为actxprxy32.dll后并删除ee.dll,使用枚举进程映像模块与遍历进程两种方式遍历No与Bx开头的5个进程,安装com组件,植入explorer.exe与svchost.exe进程工作。

 

失陷指标(IOC)147
Validator NSA 酸狐狸
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。