Hacker lernten, den böswilligen Code im Windows Events Journal zu verbergen

Kaspersky -Laborexperten entdeckten und warnten die Öffentlichkeit vor einer ungewöhnlichen böswilligen Kampagne. Wie im Labor erwähnt, wurde eine solche Kampagne zum ersten Mal entdeckt. Es verwendet Windows -Events, um Malware zu speichern. Darüber hinaus verwenden die Angreifer eine Vielzahl von Techniken, darunter Silentbreak und Cobaltstrike, Rechtsinstrumente zum Testen zur Penetration. Außerdem umfasst die Infektionskette eine ganze Reihe von Hilfsmodulen, einschließlich GO. Sie werden verwendet, um es schwierig zu machen, die Troyans des letzten Schritts zu erkennen.

Zuvor haben die Experten des Unternehmens nicht die Technik erfüllt, um den böswilligen Code in Windows -Events zu verbergen. Das vom Opfer heruntergeladene Modul ist für die primäre Infektion des Systems verantwortlich. Einige Dateien, um das Vertrauen in sie zu erhöhen, werden durch ein digitales Zertifikat unterzeichnet. Diese Kette endet mit mehreren Hose gleichzeitig zur Fernbedienung infizierter Geräte. Sie unterscheiden sich in der Art und Weise, dass Befehle (HTTP oder benannte Kanäle) und sogar deren Set übertragen werden. Einige Versionen von Troyanov haben Dutzende solcher Teams.

Denis Leggo, ein führender Cybersicherheitsexperte des Kaspersky -Labors, bemerkte:

Zusätzlich zur Verwendung von zwei kommerziellen Tools und einer großen Anzahl von Modulen gleichzeitig waren wir sehr daran interessiert, einen verschlüsselten Shell -Code im Windows Events Journal zu speichern. Eine solche Technik zum Verstecken des Vorhandenseins von böswillig im System könnte der Gehrungsmatrix hinzugefügt werden.