freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

攻击技术研判 | 利用Windows日志的新“无文件”技术
绿盟科技 2022-06-08 15:57:31 163324
所属地 北京

情报背景

近期,卡巴斯基的研究员发现了一种新的“无文件”攻击技术,恶意程序利用Windows事件日志实现Shellcode的存储,并劫持错误报告程序WerFault.exe执行先前嵌入的Shellcode。本文将就其中出现的攻击手法进行解析。

组织名称

未知

战术标签

防御规避

技术标签

日志利用 顺序搜索劫持

情报来源

https://securelist.com/a-new-secret-stash-for-fileless-malware/106393/

01 攻击技术分析

亮点一:利用Windows日志隐藏Shellcode

样本通过Windows日志API ReportEvent()将shellcode写入事件类别ID为0x4142的日志中进行存储。

日志操作相关API说明如下:

API

功能说明

RegisterEventSourceA

创建指定名称的日志

ReportEventA

向指定事件中写入日志消息,支持写入文本数据和二进制数据

OpenEventLogA

打开指定事件的日志句柄

ReadEventLogA

读取指定事件ID的所有日志详情,读取结果存放在EVENTLOGRECORD数组中

写日志流程:

1654674903_62a055d7bfc0cd047c4ab.png!small?1654674905576

读日志流程:

1654674922_62a055ea77670970b29f0.png!small?1654674924346

在Sysmon中捕获到的日志写入事件:

1654674933_62a055f54bfc3b8a86605.png!small?1654674935157

数据读取结果输出:

1654674943_62a055ffc5c266d5b6977.png!small?1654674945642

可见,通过合法API调用,可以借助Windows系统日志实现Shellcode的写入。借助日志的载荷存储,一方面可以通过自定义的特殊事件ID实现载荷的分段存储与读取,另一方面也借此很好地在宿主环境中实现了载荷隐藏。

亮点二:DLL加载顺序劫持配合入口Patch规避非预期执行

攻击者利用合法二进制程序WerFault.exe加载恶意wer.dll执行恶意逻辑。WerFault.exe是Windows 的错误报告程序,原本用于上传崩溃报告等信息。攻击者将其副本与恶意载荷wer.dll放置于C:\Windows\Tasks目录,利用DLL加载顺序劫持执行DLL中的攻击代码,读取Windows日志中嵌入的Shellcode并执行。

恶意wer.dll为了阻断WerFault.exe的后续执行流程,在被加载时,首先Patch自身的入口地址代码,通过修改字节为跳转代码,将控制流执行到函数WaitAndExit()中:

1654674969_62a05619761e7a7ef69fe.png!small?1654674971393

在函数WaitAndExit()中只会调用WaitForSingleObject()然后退出。这一方面使得恶意逻辑得以执行,另一方面,阻止了原WerFault.exe中其余逻辑的执行,避免了非预期的调用,使得劫持过程更加安静可控。

02 总结

1.在本次事件中,基于合法调用的日志功能实现载荷的存储与读取,整个过程均通过合法API完成,不易察觉;

2.配合DLL搜索顺序劫持与自身入口代码修改,在加载恶意代码的同时,避免了非预期调用的出现。


# 网络安全技术
本文为 绿盟科技 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
M01N Team
绿盟科技 LV.10
绿盟科技官方账号
  • 1634 文章数
  • 335 关注者
美国发布《关于消除美国在人工智能领域领导地位的障碍的行政命令》,人工智能政策再迎重大调整
2025-02-24
【国外网安政策快评】美国国会表决通过2025年国防授权法案,网络安全预算略减
2024-12-23
【国内网安政策简评】《国家数据基础设施建设指引(征求意见稿)》发布,呈现四大看点
2024-12-11
文章目录