黑客滥用微软Win10/Win11上错误报告工具,通过DLL旁加载技术运
财经专栏 来源:IT之家 发布时间:2023-01-06 10:06 阅读量:11857
,黑客滥用微软Win10/Win11系统内置的错误报告工具Windows Problem Reporting,通过DLL侧加载技术在被感染设备的内存上运行恶意软件。
一开始黑客通过合法的Windows可执行文件启动恶意软件,整个过程不会触发任何警告,从而秘密感染设备Ksecurity Labs安全公司最先发现了这种攻击方法
恶意软件活动始于带有ISO附件的电子邮件。双击ISO文件后,用户将自己安装为一个新的驱动器号,其中包含Windows WerFault.exe可执行文件的合法副本,一个DLL文件,一个XLS文件和一个快捷方式文件(inventory amp我们的特色菜.
本站了解到,受害者通过点击快捷方式文件启动了感染链,该文件使用scriptrunner.exe来执行WerFault.exeWer是Windows 10和11中使用的标准Windows错误报告工具,允许系统跟踪和报告与操作系统或应用程序相关的错误
杀毒工具通常会信任WerFault,因为它是微软签署的合法Windows可执行文件,所以在系统上启动它通常不会触发警报来警告受害者。
WerFault.exe启动后,恶意软件会利用已知的dll侧加载缺陷,加载ISO中包含的恶意fault rep . DLLDLL。
通常, ' faultlep.dll '文件是Microsoft在C:WindowsSystem文件夹中要求的合法DLL,以便WerFault正确运行但是,ISO中的恶意DLL版本包含启动恶意软件的附加代码
。