Cyberespionage Group滥用恶意软件隐身的Windows热匹配机制
在亚洲中处于活动中的一个讯连讯讯多个跨污染的Windows功能,以便更好地将其恶意软件隐藏在安全产品中。
Microsoft Call Platinum的恶意软件研究人员自2009年以来一直活跃,主要针对南部和东南亚的政府组织,国防机构,情报机构和电信提供者,特别是来自马来西亚,印度尼西亚和中国。
到目前为止,该组织使用了矛网络钓鱼 - 欺诈性电子邮件,以实现特定的组织或杀戮 - 作为其主要攻击方法,通常将其与以前未知,或零日,安装自定义恶意软件的漏洞组合。它非常重视剩余的未检测到。
为实现这一目标,它只每年推出少数攻击活动。其自定义恶意软件组件具有自删除功能,旨在仅在受害者“工作时间”期间运行,以隐藏其在常规用户流量之间的活动,Microsoft“Windows Defender高级威胁狩猎团队在一份报告中表示。
虽然Microsoft研究人员不断肯定地说,铂金是一个国家赞助的春季集团,他们表示,“该集团显示了有资金,组织,并专注于对政府机构最习惯的信息的特征。”
该组使用的更有趣的技术之一被称为热匹配。这利用了一个在Windows Server 2003中首次引入的一个模糊功能,并且允许系统组件的动态更新,而无需重新启动计算机。
在Windows 8及更高版本中删除了热匹配,因为它很少使用。在12年的Windows Server 2003的支持期间,只使用了10个修补程序。
安全研究员Alex Ionescu在2013年在Syscan安全会议上描述了热贴片作为运行过程中的隐形方法的潜在使用。并且是铂金集团使用的技术。
这是Microsoft研究人员第一次看到恶意攻击者在野外使用的技术。
“在恶意上下文中使用热匹配是一种可用于避免被检测的技术,因为许多抗动软件解决方案监控常规注射方法的非系统过程,例如CreateMotethread,”Microsoft研究人员在博客文章中表示。“这意味着实际术语的意思是铂金能够滥用这个功能来隐藏他们的后门从许多主机安全产品的行为传感器。”