PROPagateSQL注入漏洞技术

  • A+
所属分类:网络安全新闻

FireEye报告了PROPagate代码注入技术,这是在野外恶意软件分发活动中首次观察到的。
来自FireEye的安全专家记录了PROPagate代码注入技术,该技术首次在野外的恶意软件分发活动中被观察到。

PROPagate代码注入技术最早于2017年11月由Hexacorn安全研究人员发现,该研究人员证明它可以在所有最新的Windows版本上运行,并且可能允许攻击者将恶意代码注入其他应用程序。

专家发现,有可能滥用SetWindowSubclass函数在内部使用的合法GUI窗口属性(UxSubclassInfo和CC32SubclassInfo)来加载和执行其他应用程序中的恶意代码。

当时,一位安全研究人员发现攻击者可能滥用SetWindowSubclass API,这是管理GUI的Windows操作系统的一个功能,用于在合法应用程序的进程内加载和执行恶意代码。

恶意软件作者花了几个月的时间在实时恶意软件活动中采用PROPagate代码注入技术。

最近,FireEye的专家发现了一个利用RIG Exploit Kit 通过PROPagate代码注入技术提供Monero矿工的活动。

RIG漏洞利用工具包的运营商使用隐藏的iframe劫持来自合法站点的流量,并将它们重定向到托管漏洞利用工具包的页面。RIG漏洞利用套件使用三个JavaScripts片段,每个片段使用不同的技术来传递恶意负载。有三种技术可以传播恶意软件:

通过恶意JavaScript;
通过Flash;
通过Visual Basic脚本;
在FireEye描述的攻击链下方:

“当用户访问在iframe中加载RIG EK登录页面的受感染网站时,攻击链就会启动。RIG EK使用各种技术来提供NSIS(Nullsoft Scriptable Install System)加载程序,该加载程序利用PROPagate注入技术将shellcode注入explorer.exe。“阅读FireEye发布的分析。

“这个shellcode执行下一个有效载荷,下载并执行Monero矿工。“

PROPagateSQL注入漏洞技术

虽然我们一直在观察Exploit Kit活动的减少,但攻击者并没有完全放弃它们。”在这篇博文中,我们探讨了RIG EK如何与各种漏洞利用来破坏端点。我们还展示了NSIS Loader如何利用鲜为人知的PROPagate流程注入技术,可能是为了逃避安全产品。

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: