怎么恢复病毒隐藏文件(如何找回被杀毒软件隔离的文件)(1)

近期,安全专家已经发现了一个新的恶意代码活动,它利用Windows事件日志首次在野外隐藏了shellcode块。

“它允许'无文件'最后阶段特洛伊木马隐藏在文件系统中的明显视线之外,”卡巴斯基研究员Denis Legezo在本周发表的一篇技术文章中表示。

据信,未归因于已知的隐形感染过程始于2021年9月,当时目标被引诱下载包含Cobalt Strike和Silent Break的压缩.RAR文件。然后,对手模拟软件模块被用作启动板,将代码注入 Windows 系统进程或受信任的应用程序。同样值得注意的是,使用反检测包装器作为工具集的一部分,这表明其试图在监控下运行。

怎么恢复病毒隐藏文件(如何找回被杀毒软件隔离的文件)(2)

其中一个关键方法是将包含下一阶段恶意软件的加密外壳代码保留为事件日志中的8KB碎片,这是现实世界攻击中从未见过的技术,然后组合并执行。

怎么恢复病毒隐藏文件(如何找回被杀毒软件隔离的文件)(3)

最终的有效载荷是一组特洛伊木马,它们采用两种不同的通信机制 - 具有RC4加密的HTTP和使用命名管道的未加密 - 允许它运行任意命令,从URL下载文件,提升权限并截取屏幕截图。

病毒作者逃避策略的另一个指标是使用从初始侦察中收集的信息来开发攻击链的后续阶段,包括使用模仿受害者使用的合法软件的远程服务器。

“病毒作者非常有能力,”Legezo说。“代码非常独特,与已知的恶意软件没有相似之处。

Sysdig研究人员展示了一种利用Redis服务器中的关键缺陷在内存中执行的无文件恶意软件破坏只读容器的方法。