freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

注意!这一远程木马被伪装成合法的Windows开源工具,悄然传播
2023-02-28 13:40:59
所属地 上海

近日,趋势科技发现了一波新的攻击,目的是将PlugX远程访问木马伪装成一个名为x32dbg的开源Windows调试器工具进行传播。该合法工具允许检查内核模式和用户模式代码、故障转储及CPU寄存器。

经研究人员分析x32dbg.exe有一个有效的数字签名,因此它被错认为是安全的。这让攻击者能够逃避检测,保持持久性,提升权限,并绕过文件执行限制。

该RAT使用DLL侧面加载,如x32dbg调试工具(x32dbg.exe)时,恶意加载自身有效载荷DLL。

攻击者通过修改注册表和创建计划任务来实现持久性,即使在系统重新启动时也能保持访问。

专家报告说,x32dbg.exe被用来投放一个后门,一个UDP shell客户端,收集系统信息,收集主机信息,并创建一个线程来持续等待C2命令,并使用硬编码的密钥来解密C&C通信。

最后,报告总结说,尽管安全技术有所进步,但攻击者继续使用这种技术,因为它利用了对合法应用程序的基本信任。只要系统和应用程序继续信任和加载动态库,这种技术对于攻击者提供恶意软件和获取敏感信息仍然是可行的。

参考链接:securityaffairs.com/142770/malware/plugx-trojan-disguised-windows-tool.html

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者