黑客滥用微软 Windows 10 和 Windows 11 上错误报告工具,通过 DLL 旁加载技术运行恶意软件

安全
黑客首先通过合法的 Windows 可执行文件来启动恶意软件,整个过程并不会触发任何警告,从而隐蔽的感染设备。K7 Security Labs 安全公司率先发现了这种攻击方式。

1 月 5 日消息,黑客滥用微软 Win10​ / ​Win11​ 系统中内置的错误报告工具 Windows Problem Reporting(WerFault.exe),通过 DLL 旁加载技术在受感染设备的内存上运行恶意软件。

黑客首先通过合法的 Windows 可执行文件来启动恶意软件,整个过程并不会触发任何警告,从而隐蔽的感染设备。K7 Security Labs 安全公司率先发现了这种攻击方式。

恶意软件活动始于一封带有 ISO 附件的电子邮件。用户双击这个 ISO 文件之后,将自身挂载为一个新的驱动器盘符,其中包含 Windows WerFault.exe 可执行文件的合法副本、一个 DLL 文件(“faultrep.dll”)、一个 XLS 文件(“File.xls”)和一个快捷方式文件('inventory & our specialties.lnk')。

受害者通过单击快捷方式文件启动感染链,该快捷方式文件使用“scriptrunner.exe”来执行 WerFault.exe。WerFault 是 Windows 10 和 11 中使用的标准 Windows 错误报告工具,允许系统跟踪和报告与操作系统或应用程序相关的错误。

防病毒工具通常信任 WerFault,因为它是由 Microsoft 签名的合法 Windows 可执行文件,因此在系统上启动它通常不会触发警报来警告受害者。

启动 WerFault.exe 之后,该恶意软件将使用已知的 DLL 侧载缺陷来加载 ISO 中包含的恶意“faultrep.dll”DLL。

通常,'faultrep.dll' 文件是 Microsoft 在 C:\Windows\System 文件夹中为 WerFault 正确运行所需的合法 DLL。但是,ISO 中的恶意 DLL 版本包含用于启动恶意软件的附加代码。

责任编辑:姜华 来源: IT之家
相关推荐

2020-10-13 09:59:13

滥用Windows错误

2024-06-13 17:39:27

2018-11-23 14:50:30

Windows 10错误报告服务

2010-04-01 09:25:43

Windows 7错误报告

2009-12-22 09:11:59

Windows 7错误报告

2010-03-26 08:51:39

Windows 7错误报告

2023-01-09 13:35:16

Windows错误报告

2023-08-04 15:28:05

2012-07-13 11:05:10

ubuntu12.04

2023-02-09 16:14:09

微软Windows

2023-04-14 11:18:48

2009-12-10 16:46:06

PHP error_r

2009-09-02 17:20:55

Linux邮件服务器

2022-09-07 08:45:50

恶意软件Chromium

2023-07-13 13:19:03

2021-08-10 15:24:01

微软Windows 11Windows 10

2024-07-11 11:22:05

2023-02-08 11:13:32

PowerToysWindows 11

2021-10-10 12:20:04

微软Windows 11Windows 10

2020-07-10 14:02:14

Windows 10微软新功能
点赞
收藏

51CTO技术栈公众号