当前位置: 视线新闻网 -> 财经专栏

黑客滥用微软Win10/Win11上错误报告工具,通过DLL旁加载技术运

财经专栏    来源:IT之家   发布时间:2023-01-06 10:06    阅读量:11857      

,黑客滥用微软Win10/Win11系统内置的错误报告工具Windows Problem Reporting,通过DLL侧加载技术在被感染设备的内存上运行恶意软件。

黑客滥用微软Win10/Win11上错误报告工具,通过DLL旁加载技术运

一开始黑客通过合法的Windows可执行文件启动恶意软件,整个过程不会触发任何警告,从而秘密感染设备Ksecurity Labs安全公司最先发现了这种攻击方法

恶意软件活动始于带有ISO附件的电子邮件。双击ISO文件后,用户将自己安装为一个新的驱动器号,其中包含Windows WerFault.exe可执行文件的合法副本,一个DLL文件,一个XLS文件和一个快捷方式文件(inventory amp我们的特色菜.

本站了解到,受害者通过点击快捷方式文件启动了感染链,该文件使用scriptrunner.exe来执行WerFault.exeWer是Windows 10和11中使用的标准Windows错误报告工具,允许系统跟踪和报告与操作系统或应用程序相关的错误

杀毒工具通常会信任WerFault,因为它是微软签署的合法Windows可执行文件,所以在系统上启动它通常不会触发警报来警告受害者。

WerFault.exe启动后,恶意软件会利用已知的dll侧加载缺陷,加载ISO中包含的恶意fault rep . DLLDLL。

通常, ' faultlep.dll '文件是Microsoft在C:WindowsSystem文件夹中要求的合法DLL,以便WerFault正确运行但是,ISO中的恶意DLL版本包含启动恶意软件的附加代码

声明:本网转发此文章,旨在为读者提供更多信息资讯,所涉内容不构成投资、消费建议。文章事实如有疑问,请与有关方核实,文章观点非本网观点,仅供读者参考。

发表评论

您的电子邮箱地址不会被公开。

25
ef6
669

友情链接