流程再造:Cybercrook的惡意軟體新偽裝截至2019年初,Windows 10在超過7億台設備上運行,包括PC,平板電腦,手機甚至一些遊戲機。然而,事實證明,廣泛使用的Windows操作系統在如何具體確定磁盤上的過程映像文件位置方面存在一些不一致之處。我們的邁克菲高級威脅研究團隊決定分析這些不一致情況,結果發現了一個名為流程重新映像的新網絡威脅。類似於工藝摻雜和工藝空心化,這種技術避開了安全措施,但更容易,因為它不需要代碼注入。具體而言,此技術會影響Windows端點安全解決方案檢測系統上執行的進程是惡意還是良性的能力,從而允許網絡犯罪分子在未檢測到的設備上進行業務。 讓我們深入了解這一威脅的細節。流程重新映像利用內置的Windows API或應用程序編程接口,允許應用程序和操作系統相互通信。一個名為K32GetProcessImageFileName的API允許端點安全解決方案(如Windows Defender)驗證與進程關聯的EXE文件是否包含惡意代碼。但是,通過流程重新映像,網絡犯罪分子可能會破壞安全解決方案對Windows操作系統API的信任,以顯示不一致的FILE_OBJECT名稱和路徑。因此,Windows Defender誤解了它正在查看的文件名或路徑,並且無法再判斷某個進程是否值得信任。通過使用這種技術,網絡犯罪分子可以堅持在用戶設備上執行的惡意進程,甚至不知道它。 那麼,接下來的問題是 - Windows用戶可以做些什麼來保護自己免受這種潛在威脅?查看這些見解以幫助確保您的設備安全:
資料來源:https://securingtomorrow.mcafee.com/consumer/consumer-threat-notices/process-reimaging/ |
