【安全资讯】VOIDMAW:一种新的内存扫描绕过技术
概要:
随着恶意软件检测技术的不断发展,攻击者也在不断演变其规避手段。VOIDMAW是一种创新的内存扫描绕过技术,能够有效隐藏恶意代码,避免被杀毒软件检测到。其支持多线程有效载荷,并与所有命令与控制(C2)信标兼容,成为攻击者手中的强大工具。主要内容:
VOIDMAW的工作分为两个主要程序:1. Dismantle:该程序读取有效载荷(如Cobalt Strike信标或转换为Shellcode的可执行文件),并开始记录其行为。它记录每个唯一指令的执行情况及其在内存中的偏移量。此数据用于生成头文件,以便通过VOIDMAW程序执行有效载荷。Dismantle设置PAGE_GUARD保护,触发异常以捕获执行的指令,并通过安装向量异常处理程序(VEH)来处理这些异常。
2. Voidmaw:一旦有效载荷经过Dismantle处理,Voidmaw便可执行该有效载荷。它使用Dismantle生成的头文件动态解密并执行有效载荷,同时保持隐蔽性,难以被内存扫描器检测。Voidmaw通过创建内存区域并将掩码有效载荷写入其中,确保每次只显示一个指令,从而有效规避传统杀毒软件的检测。
VOIDMAW的开源特性使其技术对广泛用户可用,既可用于研究,也可能被恶意利用。这一技术的出现标志着恶意软件执行的新前沿,安全专业人士对此表示担忧,组织需要采取主动措施,如行为分析和异常检测,以应对这些不断演变的威胁。
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享