打单软件SynAck携2017黑帽大会黑客技术来袭

时间: 2018-05-11 22:42:05 作者: 管理员

巴斯基实验室的研究职员发明,SynAck 打单软件新变种利用代码注入技巧 Process Doppelgänging 隐藏在正当过程中,可绕过反病毒平安机制,现有反病毒产物无奈停止查杀。SynAck 是首款利用 Process Doppelgänging 反查杀技巧回避检测的打单软件。研究职员依据今朝察看到的数据推想,这款打单软件可以或许是一款具备针对性的歹意软件,该软件今朝对准的目的仅限于美国、科威特、德国和伊朗。Process Doppelgänging技巧SynAck 打单软件自2017年9月开端活泼,其新变种新增了一些回避检测的功效,利用了 Process Doppelgänging 等技巧。2017年12月的欧洲黑帽平安大会上,enSilo 的平安研究职员介绍了 Process Doppelgänging 这类绝对较新的技巧,该技巧可针对一切 Windows 版本平台提议进击,该技巧间接利用微软 Windows 体系中的事件性 NTFS (TxF)Transactional NTFS 机制读写文件,更蹩脚的是TxF在今朝大多数Windows版本上默许都是启用的。利用这项机制,歹意软件作者可以或许间接利用目的体系上的过程。根本道理就是将歹意代码假装正当的 Windows 过程,以此绕过平安软件的检测。这类技巧可绕过 Windows 体系上一切反病毒和下一代反病毒产物(颠末测试的)的及时文件扫描。事件性NTFS(TxF)Transactional NTFS    微软 MSDN 的民间信息表现,事件性 NTFS(TxF)将事件集成到 NTFS 文件体系中,这使利用程序开发职员和管理员可以或许更轻松地处置差错并坚持数据完整性。假如体系或利用程序在利用程序更新磁盘上的信息时失败,用户数据可以或许会被部门实现的文件更新操纵毁坏。TxF 使利用程序可以或许掩护文件更新操纵免受体系或利用程序毛病的影响。

卡巴斯基的研究职员表现,首次于2018年4月发明这个新变种。为了加大反编译和逆向工程的难度,SynAck 新变种在编译中添加了别的混杂代码。这款打单软件新变种有时会在被沾染的体系将自定义文本添加到 Windows 登录界面。