黑客滥用微软Win11/ Win10上错误报告工具 通过DLL旁加载技术运行恶意软件
我要评论黑客滥用微软 Win10 / Win11 系统中内置的错误报告工具 Windows Problem Reporting(WerFault.exe),通过 DLL 旁加载技术在受感染设备的内存上运行恶意软件。
黑客首先通过合法的 Windows 可执行文件来启动恶意软件,整个过程并不会触发任何警告,从而隐蔽的感染设备。K7 Security Labs 安全公司率先发现了这种攻击方式。
恶意软件活动始于一封带有 ISO 附件的电子邮件。用户双击这个 ISO 文件之后,将自身挂载为一个新的驱动器盘符,其中包含 Windows WerFault.exe 可执行文件的合法副本、一个 DLL 文件(“faultrep.dll”)、一个 XLS 文件(“File.xls”)和一个快捷方式文件('inventory & our specialties.lnk')。
我们了解到,受害者通过单击快捷方式文件启动感染链,该快捷方式文件使用“scriptrunner.exe”来执行 WerFault.exe。WerFault 是 Windows 10 和 11 中使用的标准 Windows 错误报告工具,允许系统跟踪和报告与操作系统或应用程序相关的错误。
防病毒工具通常信任 WerFault,因为它是由 Microsoft 签名的合法 Windows 可执行文件,因此在系统上启动它通常不会触发警报来警告受害者。
启动 WerFault.exe 之后,该恶意软件将使用已知的 DLL 侧载缺陷来加载 ISO 中包含的恶意“faultrep.dll”DLL。
通常,'faultrep.dll' 文件是 Microsoft 在 C:\Windows\System32 文件夹中为 WerFault 正确运行所需的合法 DLL。但是,ISO 中的恶意 DLL 版本包含用于启动恶意软件的附加代码。
相关文章
微软也在另一个场合声称,Windows 11 的设计是为了最好地利用现有的硬件。但实际测试发现,Win11 在性能方面相比 Win10 并没有优势2023-01-02
微软上线 Work vertical 功能,可在 Win10 / Win11 搜索中显示工作相关
Work vertical 功能现阶段仅限于使用工作账号登录的企业用户。客户在 Windows 上运行搜索时,他们将看到附加到搜索结果的新工作选项卡2022-12-20
当你遇到Windows 10/11重置系统卡死或重置失败时,不用紧张,你可以强制关机,然后重启电脑,查看能否正常进入系统。欢迎需要的朋友下载使用2022-12-05
不管是Win10还是Win11,打开Windows搜索,都会有以文字显示的热门搜索或推荐内容,很多朋友想要关闭文字热门搜索,本文就为大家带来了详细的关闭方法,需要的朋友一起看看2022-11-30
Win10/Win11 22H2怎么设置耳机默认音量? windows系统耳机默认音量设置
Win10/Win11 22H2怎么设置耳机默认音量?之前我们说过耳机音量会自动设置到100%,想要自己设置耳机默认音量,该怎么操作呢?下面我们就来看看windows系统耳机默认音量设置2022-11-26
微软发布紧急带外更新(OOB),修复 Win10 / Win11 中的 Kerberos 认证问
Kerberos 认证是一种计算机网络安全协议, Windows 设备在安装 11 月更新之后出现了 Kerberos 认证相关的问题,今天传来好消息,微软已经修复了这个问题,详细内容请阅读下文2022-11-18
任务栏热门搜索怎么关闭?关闭任务栏热门搜索方法汇总(Win10/Win11通用)
近期有用户觉得任务栏中的热门搜索影响了自己使用微软系统的日常,想要将其关闭,但是不知道怎么关闭,本文就为大家带来了详细解决方法,需要的朋友一起看看吧2022-11-16
微软督促用户升级到 Win11 22H2,Win10 21H1 将停止支持
微软发布了 2022 年 11 月的 Win11、Win10 以及 Win 8.1 和 Win7 的星期二补丁安全更新,宣布 Win10 的 21H1 版本即将停止服务,下文为大家带来了详细介绍,需要的朋友一起看2022-11-10
微软目前正在测试 Edge 浏览器的新触摸模式,目的是使浏览器为 Surface Pro 等触摸设备进行更多优化,感兴趣的朋友一起看看吧2022-11-09
测试显示微软 Win10 比 Win11 更节能,笔记本电脑续航更长
近日,外媒 Neowin 对 Windows 11 和 Windows 10 的续航进行了测试,本文为大家带来了详细的续航对比,感兴趣的朋友一起看看吧2022-09-27
最新评论