发布时间:日期:2019-12-04 | 编辑:
2019年11月26日,微软公司Defender ATP研究团队发布报告,称其通过监测发现新的恶意软件攻击活动并将其命名为“Dexphot”。该攻击活动自2018年10月开始,至今仍在继续。攻击者使用了一系列高级而复杂的攻击技术来逃避安全检测,包括多态、无文件、多层混淆、多层加密等,使该恶意软件具有较强的隐蔽性和持久性,最终会在受害者主机中植入恶意挖矿软件。 报告称,该攻击活动中,除安装程序以外,攻击者劫持了合法的系统进程以掩盖恶意操作,进程包括msiexec.exe(用于安装MSI软件包),unzip.exe(用于从加密压缩文件中提取文件),rundll32.exe(用于加载恶意DLL文件),schtasks.exe(用于计划任务) ,powershell.exe(用于强制更新),svchost.exe,tracert.exe和setup.exe。同时,攻击者利用了无文件攻击手法,使用process hollowing(进程镂空)技术将恶意代码隐藏在合法系统进程中,有效增强了隐蔽性。此外,攻击者还使用了监视服务和计划任务保障攻击的持久性。 报告指出,攻击者使用的大部分域名已被长期使用,且每个域名托管的MSI软件包都会经常更改或更新,至今仍然会每隔几日便新增更多域名用于托管恶意负载,截至目前,研究人员已发现被攻击者利用的约200个域名。 Dexphot攻击活动过程复杂,攻击手段多样化且具有很强的隐蔽性和持久性,一定程度上代表了恶意软件的技术发展趋势,应引起我国网络安全行业重视。
【关闭】【后退】
校址:湖南邵阳学院路 邮编:422004 电话:0739-5302313 传真:0739-5302313
湘ICP备14005206号-1 湘教QS3-200505-00672
Coptyright© 2014-2019 All rights Reserved
国家公办全日制普通高等学校
对接产业 | 校企合作 | 工学结合 | 订单培养
在湘招生代码:4715 国际代码:12600