间谍组织MuddyWater已被发现发起一场攻击活动,该活动入侵了中东、亚洲和欧洲九个国家政府、军事力量和电信系统。其采用的技术是DLL侧加载,即利用合法的Windows文件加载恶意库,以窃取信息并保持持久访问。建议监控未经授权的进程启动。
DLL侧加载在攻击中如何运作 🕵️
MuddyWater利用已签名的Windows二进制文件,这些文件以不安全的方式加载DLL。他们将恶意DLL以预期名称放置在执行目录中,合法进程便毫无怀疑地将其加载。一旦进入系统,他们便部署ScreenConnect或自定义后门等工具来窃取数据。持久性通过计划任务或注册表修改实现。受影响的领域包括国防和电信。
Windows:完美的(无意)帮凶 🤦
结果发现,微软自己的工具才是开门者。攻击者无需复杂的漏洞利用:只需一个已签名的可执行文件和一个重命名的DLL。这就像大楼保安因为你穿着正确的制服就放你进去,尽管证件是假的。与此同时,IT团队检查日志,寻找任何不是正常Windows进程的东西。系统的讽刺之处。