أخبار تقنية

برمجية خبيثة جديدة تخفي شيفرتها داخل سجلات أحداث Windows

تم رصد حملة ضارة جديدة للاستفادة من سجلات أحداث Windows لتخبأ قطع Shellcode لأول مرة في البرية."إنه يتيح أن يتم إخفاء طروادة" عزل المرحلة "من مرحلة" من البصر "في نظام الملفات". قال في كتابة فنية نشرت هذا الأسبوع.

متابعة ميكسي نيوز

Windows….تم رصد حملة ضارة جديدة للاستفادة من سجلات أحداث Windows لتخبأ قطع Shellcode لأول مرة في البرية.

“إنه يتيح أن يتم إخفاء طروادة” عزل المرحلة “من مرحلة” من البصر “في نظام الملفات”. قال في كتابة فنية نشرت هذا الأسبوع.

يُعتقد أن عملية العدوى الخفية ، التي لا تُنسب إلى ممثل معروف ، بدأت في سبتمبر 2021 عندما تم إغراء الأهداف المقصودة لتنزيل ملفات .

RAR التي تحتوي على كوبالت إضراب و استراحة صامتة.

“تم تحقيق انتشار وحدة الكوبالت إضراب من خلال إقناع الهدف لتنزيل الرابط إلى .rar على ملف الموقع الشرعي ، وتشغيله بأنفسهم” ، أوضح ليجزو.

ثم يتم استخدام وحدات برامج محاكاة الخصم كصاحب لضخ الرمز في عمليات نظام Windows أو التطبيقات الموثوقة.

من الجدير بالذكر أيضًا استخدام الأغلفة المضادة للكشف كجزء من مجموعة الأدوات ، مما يشير إلى محاولة من جانب المشغلين للسفر تحت الرادار.

Windows أحداث سجل البرامج الضارة shellcode

تتمثل إحدى الطرق الرئيسية في الحفاظ على رمز الصدفة المشفرة الذي يحتوي على البرامج الضارة في المرحلة التالية مثل قطع 8 كيلو بايت في سجلات الأحداث ، وهي تقنية لم يسبق لها مثيل في هجمات العالم الحقيقي ، ثم يتم دمجها وتنفيذها.

Windows أحداث سجل البرامج الضارة shellcode

الحمولة النهائية هي مجموعة من أحصنة طروادة تستخدم آليتين مختلفتين – HTTP مع تشفير RC4 وغير مشفورين مع تسمي الأنابيب – التي تسمح لها بتشغيل أوامر تعسفية ، وتنزيل الملفات من عنوان URL ، وتصاعد الامتيازات ، وأخذ لقطات الشاشة.

الأمن السيبراني

مؤشر آخر على تكتيكات التهرب من الممثل التهديد هو استخدام المعلومات التي تم الحصول عليها من الاستطلاع الأولي لتطوير المراحل اللاحقة لسلسلة الهجوم ، بما في ذلك استخدام خادم بعيد يحاكي البرامج المشروعة التي تستخدمها الضحية.

وقال ليجزو “الممثل وراء هذه الحملة قادر للغاية”. “الرمز فريد من نوعه ، مع عدم وجود أوجه تشابه مع البرامج الضارة المعروفة.”

يأتي الإفصاح كباحثين SYSDIG مُبَرهن طريقة لتسوية حاويات القراءة فقط مع برامج ضارة غير متوقعة يتم تنفيذها في الذاكرة من خلال الاستفادة من عيب حرج في خوادم redis.

إدارة ميكسي نيوز

ميكسي نيوز منصة إخبارية عربية تقدم تغطية شاملة لأهم الأحداث حول العالم، مع التركيز على الاخبار التقنية، والرياضية، والفنية، بتحديث مستمر ومصداقية عالية

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى