十年後,惡意軟體作者仍在濫用“天堂之門”技術

Editor發表於2019-07-03

在黑客電子雜誌(線上雜誌)首次詳細介紹十多年後,即使在今天惡意軟體仍然成功地使用“天堂之門”技術來避免防病毒檢測。


近日,思科的網路安全部門Talos 釋出了一份報告,詳細介紹了最近的天堂之門。


Talos研究人員表示,他們已經發現至少三個惡意軟體分發活動,其中感染使用者系統的惡意軟體使用Heaven's Gate技術執行惡意程式碼而不會觸發防病毒檢測。

這三個活動分發了HawkEye Reborn鍵盤記錄器,Remcos遠端訪問木馬(RAT)和各種加密貨幣採礦木馬。


這三個活動中的共同點是惡意軟體載入器 - 一種首先感染系統的惡意軟體,只是為了在以後下載更危險和更高階的惡意軟體。Talos表示,這個新的惡意軟體載入程式正在濫用Heaven's Gate技術來繞過防病毒引擎並下載並安裝三個更有效的惡意軟體。


什麼是天堂門技術?


此惡意軟體載入程式使用的技術並不新鮮。它首先在2000年代中期由29A病毒編碼組管理的網站上詳述。天堂之門的教程由一位匿名黑客編寫,上傳為29A集團成員Roy G. Biv。在該集團解散並且他們的電子雜誌網站倒閉後,天堂門技術後來在2009年版的Valhalla黑客電子雜誌中重印。


實際技術是Windows 64位系統上的一個誤導。Biv發現,在64位系統上執行的32位應用程式可能會欺騙作業系統執行64位程式碼,儘管最初聲稱自己是32位程式。

當時,防病毒軟體和作業系統安全功能都無法檢測從執行32位相容程式碼到64位程式碼的32位程式跳轉。


雖然最初這種技術有所進步,但多年來它逐漸進入大量商用惡意軟體中。到2010年初,它主要被大量的rootkit濫用,但後來傳播到Phenom木馬,Pony資訊輸出器,Vawtrack(NeverQuest),Scylex,Nymaim,Ursnif(Gozi)和TrickBot銀行木馬。


該技術在現代惡意軟體中的普及和使用有所消退,主要是在微軟推出了Windows 10中名為Control Flow Guard的安全功能之後,該功能有效地阻止了從WOW64 32位執行到本機64位程式碼執行空間的程式碼跳轉。


然而,一些惡意軟體作者仍在使用該技術,主要是針對遺留系統。在Talos本週報告之前,Malwarebytes去年在2018年發現了這種技術被加密貨幣礦工濫用。

任何使用Heaven's Gate技術的惡意軟體都會在老系統上有效地發揮作用,這再一次表明使用現代作業系統的原因總是一個好主意。


來源: 來源:ZDNet

相關文章