原标题:资安研究:程式码注入不稀奇,“早鸟”程式码注入兴起
有不少恶意程式都会利用程式码注入(Code△Injection)技术把恶意程式嵌入合法的程序中以躲避侦测,同时资安业者也发展出相对应的Hook机制来找出它们,不过,资安业者Cyberbit本周揭露了一款新的程式码注入方式,它能在Hook机制运作前就载入恶意程式,因而被命名为“早鸟”(Early△Bird)程式码注入技术。
恶意程式的程式码注入流程是先设立一个伪造的合法程序,把恶意程式与异步过程调用(APC)置入该程序,之后重新开始程序的主要执行绪以执行APC。另一方面,防毒软件则为此设计了Hook功能,可监控API的呼叫以分辨恶意活动。
然而,Early△Bird手法却是于执行绪初始化非常早期的阶段,在许多防毒软件还没部署Hook前就载入恶意程式码,而能在不被侦测到的状态下展开恶意行动。
Cyberbit表示,目前已发现多款采用早鸟程式注入手法的恶意程式,包括伊朗骇客集团APT33所撰写的TurnedUp后门程式,以及可用来执行阻断服务攻击或窃取密码的通用恶意程式DorkBot。其中,去年9月才曝光的TurnedUp能够窃取资料、建立反向Shell、拍摄荧幕画面及收集系统讯息等。
相关:
假冒的Firefox更新网页 你收到的网站更新通知是真的吗?资安公司Malwarebytes△Labs发现,为数众多使用内容管理系统(Content△Management△Server,CMS)建立的网站被骇客植入恶意Javascript程式码以及可执行档,
AMD周三针对Windows△PC△Spectre△变种2漏洞释出了处理器微程式码,最早可回溯到2011年的CPU产品。微程式码将通过PC品牌商及主机板厂商的BIOS更新释出给用户,但AMD强调,Windows作业系统也需升级到最新版本才能发挥
示意图,与新闻事件无关。 图片来源: Nvidia Nvidia上周宣布其显卡产品驱动程式从本月开始将不再支援32-bit作业系统。根据Nvidia的最新支援计划,从4月起,该公司Game△Ready驱动程式更新包括效能更新、新功能及修
图片来源: Grindr 挪威的软件既服务供应商SINTEF上周抨击知名同志交友程式Grindr与第三方分享了用户个人资讯,其中也包含用户的“人类免疫缺乏病毒”(HIV)状态,使得Grindr于今天(4/3)紧急澄清。Grindr为一锁定女
即日起,Google将全面拉黑具挖矿功能的Chrome扩充程式
示意图,与新闻事件无关。 图片来源: Chrome△Web△Store Google周一(4/2)宣布,即日起将全面拉黑Chrome△Web△Store中具挖矿功能的Chrome扩充程式,且会在今年6月底移除Chrome△Web△Store上已上架的挖矿扩充程