🌟简介
它是如何工作的?
当黑客像在受害者身上安装恶意软件时,他们首先会检查当前环境以确保其恶意软件能安全运行。由于他们不想被发现,所以会回避有安全分析或反恶意软件工具的计算机。
稻草人利用了这一点,通过在您的计算机后台运行并“伪造”这些指标。它是超级轻量级的,并欺骗恶意软件认为您的计算机不是理想的恶意软件布置环境。
总的来说,它会把计算机伪装成已经安装了一大堆杀软和安全设备、安全分析工具的样子,从而让攻击者产生忌惮认为你的计算机是块硬骨头,跟稻草人吓退鸟群和野兽一样。
- 假进程
稻草人将创建许多后台进程,这些进程不做任何事情,但看起来像安全研究工具。
- 假注册表项
稻草人创建注册表项,使它看起来像安全工具安装在您的计算机上。
设计思路
稻草人的想法来自于阅读恶意软件分析报告。在这些报告中,您将看到恶意软件首先检查受感染计算机上的各种指标。如果它们存在,恶意软件将停止,而不会感染受害者。
我们已经收集了这些指标的列表,并将它们构建成稻草人。它会在您的计算机后台悄悄地创建它们。如果您对这些内容感兴趣,可以在稻草人设置界面和稻草人程序文件目录下的XML配置文件中看到它们。
稻草人是一个小实验,看看像这样的概念能够生效以及是何效果。
项目地址
https://www.cyberscarecrow.com/
原文始发于微信公众号(SecHub网络安全社区):好玩的吓毒软件:网络稻草人
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论