威廉希尔娱乐 >> 竞彩足球 > 中超足球即时亚盘-PoS端恶意软件LockPoS被曝利用新型注入技术

中超足球即时亚盘-PoS端恶意软件LockPoS被曝利用新型注入技术

时间:2020-01-11 来源:威廉希尔娱乐 浏览:2904次

中超足球即时亚盘-PoS端恶意软件LockPoS被曝利用新型注入技术

中超足球即时亚盘,e安全1月7日讯 以色列cyberbit网络安全公司的研究人员表示, pos端恶意软件lockpos 一直在利用新的代码注入技术攻击目标系统。

lockpos于2017年7月浮出水面。安全研究人员发现,lockpos窃取与pos信用卡扫描仪连接的电脑内存中的信用卡数据,之后将其发送至命令与控制(c&c)服务器。

先前的分析揭露,lockpos恶意软件使用dropper直接注入explorer.exe进程。执行后,dropper会从自身提取资源文件,并注入加载最终payload的各种组件。

如今,这款恶意软件正在使用代码注入——似乎是变着花样沿用了flokibot pos恶意软件曾使用的技术。 lockpos曾被曝利用flokibot僵尸网络进行传播,flokibot pos与lockpos这两款恶意软件存在相似之处。

cyberbit 表示,lockpos利用的其中一种注入技术会在内核中创建内存区对象(section object),调用函数将这个内存区的视图映射至另一个进程,之后将代码复制到这个内存区,并创建远程线程执行映射的代码。

lockpos被曝使用三个主函数(ntcreatesection、ntmapviewofsection和ntcreatethreadex)将代码注入到远程进程,这三个函数均从ntdll.dll导出。

这款恶意软件不会调用上述函数,而是从磁盘将ntdll.dll映射到自己的虚拟内存地址空间,从而保存“干净的”副本。lockpos将恶意代码复制到内存区,之后在explorer.exe创建远程线程执行恶意代码。

借助这种恶意软件注入方法,lockpos可避开反病毒软件在ntdll.dll上安装的hook,从而提升攻击的成功率。

e安全注:本文系e安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。

标签:a
小编推荐 字体设置
网站简介 | 版权声明 | 联系我们 | 广告服务 | 工作邮箱 | 意见反馈 | 不良信息举报 | 
Copyright©2006-2019 威廉希尔娱乐 woronowska.com. All rights reserved.