近期,网络攻击者开始利用改良版的 SharpHide 工具创建隐藏的注册表值,极大地增加了检测和删除的难度。这种技术利用了 Windows 注册表重定向机制,让标准工具难以识别和清除这些隐蔽的持久性攻击手段。
SharpHide 通过在注册表路径前添加两个宽字符(wchar)空字符,来创建隐藏的注册表键。由于注册表编辑器无法正确处理空字符,这种方法能够有效地隐藏这些注册表项。
改良版的SharpHide已被集成到一个PowerShell脚本中,并通过混淆两个Base64编码的二进制文件来执行恶意操作。其中第一个二进制文件包含恶意载荷,第二个二进制文件充当加载器,负责执行该载荷。
加载器利用PowerShell的反射功能,动态加载并调用一个方法,从而在RegSvcs.exe进程下启动恶意载荷。这种将恶意软件运行在合法系统可执行文件中的技术,成功规避了检测。
PowerShell脚本示意图(来源:Medium)
当以管理员权限执行恶意脚本时,它会在WOW6432Node分支中创建隐藏的注册表值,而非标准的SOFTWARE分支。这是因为 Windows 的注册表重定向机制会自动将 32 位进程的注册表写入重定向到 64 位系统的WOW6432Node分支,导致标准的 SharpHide 删除技术无法检测到这些隐藏值。
为了应对这一问题,开发人员开发了一款名为SharpDelete的新工具,旨在删除用于持久化攻击的隐藏注册表值,并能够处理标准和重定向的注册表路径。用户还可以指定自定义的注册表位置,在检测和清除隐蔽持久化机制时具备更高的灵活性。
SharpDelete示意图(来源:Medium)
面对新兴威胁,在网络安全领域持续不断地创新尤为重要。
原文始发于微信公众号(FreeBuf):网络攻击者借助SharpHide改良版,加大注册表检测难度
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论