• 首页
        • 更多产品

          客户为中心的产品管理工具

          专业的软件研发项目管理工具

          简单易用的团队知识库管理

          可量化的研发效能度量工具

          测试用例维护与计划执行

          以团队为中心的协作沟通

          研发工作流自动化工具

          账号认证与安全管理工具

          Why PingCode
          为什么选择 PingCode ?

          6000+企业信赖之选,为研发团队降本增效

        • 行业解决方案
          先进制造(即将上线)
        • 解决方案1
        • 解决方案2
  • Jira替代方案
目录

注意!这一远程木马被伪装成合法的Windows开放源工具,悄然传播

近日,趋势科技发现了一波新的攻击,目的是将PlugX远程访问木马伪装成一个名为x32dbg的开源Windows调试器工具进行传播。该合法工具允许检查内核模式和用户模式代码、故障转储和CPU寄存器。

经研究人员分析x32dbg.exe有一个有效的数字签名,因此它被一些安全工具认为是安全的。这让攻击者能够逃避检测,保持持久性,提升权限,并绕过文件执行限制。

该RAT使用DLL侧面加载,如x32dbg调试工具(x32dbg.exe)时,恶意加载自己的有效载荷DLL。

攻击者通过修改注册表和创建计划任务来实现持久性,即使在系统重新启动时也能保持访问。

专家报告说,x32dbg.exe被用来投放一个后门,一个UDP shell客户端,收集系统信息,收集主机信息,并创建一个线程来持续等待C2命令,并使用硬编码的密钥来解密C&C通信。

最后,报告总结说,”尽管安全技术有所进步,但攻击者继续使用这种技术,因为它利用了对合法应用程序的基本信任。只要系统和应用程序继续信任和加载动态库,这种技术对于攻击者提供恶意软件和获取敏感信息仍然是可行的”。

参考链接:securityaffairs.com/142770/malware/plugx-trojan-disguised-windows-tool.html

文章来自:https://www.freebuf.com/

相关文章