攻击技术研判 | 利用Windows日志的新“无文件”技术

admin 2022年5月16日19:44:23应急响应评论28 views1504字阅读5分0秒阅读模式
攻击技术研判 | 利用Windows日志的新“无文件”技术

情报背景

近期,卡巴斯基的研究员发现了一种新的“无文件”攻击技术,恶意程序利用Windows事件日志实现Shellcode的存储,并劫持错误报告程序WerFault.exe执行先前嵌入的Shellcode。本文将就其中出现的攻击手法进行解析。


组织名称

未知

战术标签

防御规避

技术标签

日志利用 顺序搜索劫持

情报来源

https://securelist.com/a-new-secret-stash-for-fileless-malware/106393/


01 攻击技术分析

亮点一:利用Windows日志隐藏Shellcode

样本通过Windows日志API ReportEvent()将shellcode写入事件类别ID为0x4142的日志中进行存储。


日志操作相关API说明如下:

API

功能说明

RegisterEventSourceA

创建指定名称的日志

ReportEventA

向指定事件中写入日志消息,支持写入文本数据和二进制数据

OpenEventLogA

打开指定事件的日志句柄

ReadEventLogA

读取指定事件ID的所有日志详情,读取结果存放在EVENTLOGRECORD数组中


写日志流程:

攻击技术研判 | 利用Windows日志的新“无文件”技术


读日志流程:

攻击技术研判 | 利用Windows日志的新“无文件”技术


在Sysmon中捕获到的日志写入事件:

攻击技术研判 | 利用Windows日志的新“无文件”技术


数据读取结果输出:

攻击技术研判 | 利用Windows日志的新“无文件”技术


可见,通过合法API调用,可以借助Windows系统日志实现Shellcode的写入。借助日志的载荷存储,一方面可以通过自定义的特殊事件ID实现载荷的分段存储与读取,另一方面也借此很好地在宿主环境中实现了载荷隐藏。


亮点二:DLL加载顺序劫持配合入口Patch规避非预期执行

攻击者利用合法二进制程序WerFault.exe加载恶意wer.dll执行恶意逻辑。WerFault.exe是Windows 的错误报告程序,原本用于上传崩溃报告等信息。攻击者将其副本与恶意载荷wer.dll放置于C:WindowsTasks目录,利用DLL加载顺序劫持执行DLL中的攻击代码,读取Windows日志中嵌入的Shellcode并执行。


恶意wer.dll为了阻断WerFault.exe的后续执行流程,在被加载时,首先Patch自身的入口地址代码,通过修改字节为跳转代码,将控制流执行到函数WaitAndExit()中:

攻击技术研判 | 利用Windows日志的新“无文件”技术


在函数WaitAndExit()中只会调用WaitForSingleObject()然后退出。这一方面使得恶意逻辑得以执行,另一方面,阻止了原WerFault.exe中其余逻辑的执行,避免了非预期的调用,使得劫持过程更加安静可控。


02 总结

1.在本次事件中,基于合法调用的日志功能实现载荷的存储与读取,整个过程均通过合法API完成,不易察觉;


2.配合DLL搜索顺序劫持与自身入口代码修改,在加载恶意代码的同时,避免了非预期调用的出现。


攻击技术研判 | 利用Windows日志的新“无文件”技术

绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。

研究目标包括:漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术,以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究,以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术,从攻击视角提供识别风险的方法和手段,为威胁对抗提供决策支撑。


攻击技术研判 | 利用Windows日志的新“无文件”技术

M01N Team

聚焦高级攻防对抗热点技术

绿盟科技蓝军技术研究战队


往期推荐

攻击技术研判 | 持久化新方式:计划任务启动PowerShell.exe实现持久化

攻击技术研判 | 利用Windows日志的新“无文件”技术

攻击技术研判|具备“自组织”能力的跨平台恶意程序

攻击技术研判 | 利用Windows日志的新“无文件”技术

攻击技术研判|发现新招!攻击者投递伪装成文件夹的恶意LNK

攻击技术研判 | 利用Windows日志的新“无文件”技术


原文始发于微信公众号(M01N Team):攻击技术研判 | 利用Windows日志的新“无文件”技术

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月16日19:44:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  攻击技术研判 | 利用Windows日志的新“无文件”技术 http://cn-sec.com/archives/1011496.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: