網絡安全公司Cyberbit的研究人員表示，PoS端惡意軟件LockPoS已經開始利用新的代碼注入技術來危害系統安全。

　　LockPoS惡意軟件最初在去年7月份被安全研究人員發現，并進行了詳細地介紹，當時，研究人員發現LockPoS惡意軟件能夠從連接到PoS信用卡掃描器的計算機中讀取正在運行的進程的內存，并收集信用卡數據，然后將其發送到命令和控制（C&C）服務器中。

　　根據之前的分析結果顯示，LockPoS惡意軟件是通過利用直接注入到explorer.exe 進程中的滴管組件進行傳播的。需要注意的是，LockPoS必須通過手動加載來執行，然后再通過從自身提取的多個組件繼續下載充當第二階段的加載器。緊接著，惡意代碼會進行解密、解壓以及加載最終版本的 LockPoS有效載荷。

　　但是近日，來自Cyberbit的研究人員卻發現，該惡意軟件正在使用一種新的代碼注入方法，該方法看起來像是Flokibot PoS惡意軟件之前使用的一種注入技術的新變種。這兩種惡意軟件均以PoS終端為攻擊目標，且共享相同的僵尸網絡分發機制，所以存在相似之處并不足為奇。

　　研究人員指出，LockPoS采用的注入技術之一就是在內核中創建一個“節（section）”對象，然后調用一個函數將該節的視圖映射到另一個進程中，再將代碼復制到該節并創建一個遠程線程來執行映射的代碼。

　　LockPoS被觀察到使用三個主要的例程來將代碼注入到遠程進程中，即NtCreateSection、NtMapViewOfSection以及NtCreateThreadEx，而所有這三個例程都是從Windows操作系統中的核心動態鏈接庫（DLL）文件ntdll.dll中導出的。

　　但是，該惡意軟件并不會直接調用上述的三個例程，而是將ntdll.dll從磁盤映射到自己的虛擬地址空間，從而使其能夠維護DLL文件的“干凈”副本。此外，LockPoS還分配一個緩沖區來保存系統呼叫號碼，將惡意代碼復制到共享映射區，然后在explorer.exe中創建一個遠程線程來執行其惡意代碼。

　　對ntdll.dll不了解的這里特別解釋一下：

　　ntdll.dll是重要的Windows NT內核級文件，描述了windows本地NTAPI的接口。當Windows啟動時，ntdll.dll就駐留在內存中特定的寫保護區域，使別的程序無法占用這個內存區域。

　　通過使用這種“靜默”的惡意軟件注入技術，該惡意軟件能夠逃避反惡意軟件可能安裝在ntdll.dll上的掛鉤（hook），從而增加成功攻擊的可能性。

　　Cyberbit的惡意軟件分析師Hod Gavriel解釋說：

　　這種新的惡意軟件注入技術表明，一種‘以新的方式來使用舊的序列’的新趨勢可能正在形成，這使得檢測變得更加困難。

　　盡管大多數端點檢測和響應（EDR）解決方案以及下一代防病毒產品已經能夠在用戶模式下監視Windows功能，但是在Windows 10系統中，由于內核空間始終被守護著，所以無法對內核函數進行監視。研究人員表示，為了確保成功檢測，應該進一步改善內存分析。

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：韓希宇