PROPagateSQL注入漏洞技术

FireEye报告了PROPagate代码注入技术，这是在野外恶意软件分发活动中首次观察到的。
来自FireEye的安全专家记录了PROPagate代码注入技术，该技术首次在野外的恶意软件分发活动中被观察到。

PROPagate代码注入技术最早于2017年11月由Hexacorn安全研究人员发现，该研究人员证明它可以在所有最新的Windows版本上运行，并且可能允许攻击者将恶意代码注入其他应用程序。

专家发现，有可能滥用SetWindowSubclass函数在内部使用的合法GUI窗口属性（UxSubclassInfo和CC32SubclassInfo）来加载和执行其他应用程序中的恶意代码。

当时，一位安全研究人员发现攻击者可能滥用SetWindowSubclass API，这是管理GUI的Windows操作系统的一个功能，用于在合法应用程序的进程内加载和执行恶意代码。

恶意软件作者花了几个月的时间在实时恶意软件活动中采用PROPagate代码注入技术。

最近，FireEye的专家发现了一个利用RIG Exploit Kit 通过PROPagate代码注入技术提供Monero矿工的活动。

RIG漏洞利用工具包的运营商使用隐藏的iframe劫持来自合法站点的流量，并将它们重定向到托管漏洞利用工具包的页面。RIG漏洞利用套件使用三个JavaScripts片段，每个片段使用不同的技术来传递恶意负载。有三种技术可以传播恶意软件：

通过恶意JavaScript;
通过Flash;
通过Visual Basic脚本;
在FireEye描述的攻击链下方：

“当用户访问在iframe中加载RIG EK登录页面的受感染网站时，攻击链就会启动。RIG EK使用各种技术来提供NSIS（Nullsoft Scriptable Install System）加载程序，该加载程序利用PROPagate注入技术将shellcode注入explorer.exe。“阅读FireEye发布的分析。

“这个shellcode执行下一个有效载荷，下载并执行Monero矿工。“

虽然我们一直在观察Exploit Kit活动的减少，但攻击者并没有完全放弃它们。”在这篇博文中，我们探讨了RIG EK如何与各种漏洞利用来破坏端点。我们还展示了NSIS Loader如何利用鲜为人知的PROPagate流程注入技术，可能是为了逃避安全产品。