해커는 Windows Events Journal에서 악의적 인 코드를 숨기는 법을 배웠습니다.

카스퍼 스키 실험실 전문가들은 비정상적인 악의적 인 캠페인에 대해 대중에게 발견하고 경고했다. 실험실에서 언급 한 바와 같이, 그러한 캠페인은 처음으로 발견되었습니다. Windows 이벤트를 사용하여 맬웨어를 저장합니다. 또한 공격자는 침투 테스트를위한 법적 도구 인 Silentbreak 및 Cobaltstrike를 포함한 광범위한 기술을 사용합니다. 또한 감염 사슬에는 GO를 포함한 전체 보조 모듈 세트가 포함되어 있습니다. 그들은 마지막 단계의 트로이 한을 감지하기 어렵게 만드는 데 사용됩니다.

이전 에이 회사의 전문가들은 Windows 이벤트 내에서 악의적 인 코드를 숨기는 기술을 충족시키지 못했습니다. 피해자가 다운로드 한 모듈은 시스템의 1 차 감염을 담당합니다. 이에 대한 신뢰를 높이기위한 일부 파일은 디지털 인증서로 서명합니다. 이 사슬은 감염된 장치의 원격 제어를 위해 한 번에 여러 바지로 끝납니다. 명령 (HTTP 또는 명명 채널)을 전송하는 방식, 심지어 세트도 다릅니다. 일부 버전의 Troyanov에는 수십 개의 팀이 있습니다.

카스퍼 스키 실험실의 주요 사이버 보안 전문가 인 데니스 레거 (Denis Leggo)는 다음과 같이 지적했다.

두 개의 상용 도구와 많은 수의 모듈을 한 번에 사용하는 것 외에도 Windows Events Journal에 암호화 된 쉘 코드를 저장한다는 사실에 매우 관심이있었습니다. 시스템에서 악의적 인 존재를 숨기는 이러한 기술은 마이 터 매트릭스에 추가 될 수 있습니다.