曲速未来 :网络犯罪分子于广告上哥斯拉加载程序的恶意软件
区块链安全咨询公司 曲速未来 消息:网络犯罪分子在Dark网络论坛上以500美元的价格宣传Godzilla Loader恶意软件,该恶意软件被定期维护并获得新的更新。
哥斯拉的特点和它们的用途
为了让你有正确的思维方式来考虑哥斯拉与情绪,这是我们自己的下载器,用Python编写:
哥斯拉现代下载器或滴管首先在受害者的机器上运行二进制文件,然后从远程服务器下载有效载荷。
根据调查得知,与其竞争对手Emotet相比,Godzilla Loader恶意软件的感染率要低得多。
Godzilla加载器广告称其内置UAC旁路,用户帐户控制(UAC)是一种Microsoft安全工具,可帮助防止恶意软件的入侵。
绕过UAC非安全边界
早期的MS-Windows几乎没有访问控制的方式,并且在Windows Vista中引入了UAC作为解决此问题的权宜之计。您可能熟悉对话框提示,通知您这个或另一个进程“想要对您的计算机进行更改”,这是“希望拥有管理员权限”的外行翻译。UAC最初因为不断提示屏幕驱动早期的Vista采用者而臭名昭着,这些提示冻结了整个屏幕的其余部分并从所有其他应用程序中抢走了焦点。
自UAC首次亮相以来,其用户界面已经有了重大改进,但同样不能说它能够阻止恶意行为者。虽然UAC确实为进入恶意软件(例如)关闭AV产品提供了一定的障碍,但通过一些努力,这个障碍被证明是可以克服的。如果您想了解我们的意思,请考虑UACMEgithub存储库,由自称为“软件工程师,恶意软件分析师”的infosec个性化@hFireF0X提供服务;存储库是一个教育展览,目前列出了50多个(!)不同的攻击向量,用于绕过UAC及其相应的实现。UAC作为一个完全强大的安全功能的战斗早已失传。差不多十年前,微软叹了口气,宣称UAC不是安全边界。
正如广告中所提到的,哥斯拉装载机配备了内置的UAC旁路-具体来说,就是这里所描述的。此UAC绕过基本上是特权进程eventvwr.exe中的漏洞;由于存在错误,进程在查询注册表以获取Microsoft管理控制台的位置时会访问错误的注册表项,并且可以修改此错误的注册表项,而不需要任何权限要求。因此,攻击者可以指定他们喜欢的任何可执行文件,并且此可执行文件将以管理员权限运行。
当你所拥有的只是一个IUNKNOWN接口时,一切看起来都像一个COM对象
随着新版本的“哥斯拉”,作者声称他们已经转换了更多的控制流程,完全依赖于COM接口;通过IPresistFile接口实现持久性,并通过IShellDispatch接口触发本地磁盘上程序的shell执行。
它还执行其他功能,例如删除文件备份,这是它成为反勒索软件措施的唯一可能原因,该措施通过从影子文件备份恢复原始文件来运行。
威胁参与者为C&C通信提供了双层故障保护,并使用RSA-2048来验证C&C服务器的身份。
最新版本的恶意软件似乎从去年12月开始开发,最新版本包含传播模块,键盘记录模块和密码窃取模块。
勒索软件管家即服务
另一个引起注意的特性是在受害者系统上自动删除文件备份卷影副本。对于大多数类型的恶意广告系列,此功能不会以某种方式产生影响;它存在的唯一可能原因是通过从影子文件备份中恢复原始文件来实现非常具体的反Ransomware措施。
首先,“恢复阴影文件”位于反勒索软件攻击的图腾柱上相对较低。最重要的是,绝大多数勒索软件都将内置此功能;虽然勒索软件作者通常不是出色的加密思想,但他们已经掌握了基础知识,并且基础已经包括“确保删除影子文件”。只有最低级别的低层勒索软件才能检查此复选框。
结论
区块链安全咨询公司 曲速未来 表示:根据它的存在和采用率,研究人员表示它可能是长尾原理的一个很好的例子。与手机型号和编程语言一样,可以预计恶意下载器的普及将遵循帕累托分布,其中少数演员占据市场的大部分,其余的则由小型利基演员的海洋所占据。这绝对是故事的一部分,但不是全部。
曲速未来 :网络犯罪分子于广告上哥斯拉加载程序的恶意软件相关推荐
- Android使用RecyclerView实现上拉加载更多,下拉刷新,分组显示
项目地址:点击打开链接(https://github.com/MrGaoGang/luckly_recyclerview) 使用RecyclerView封装headerview,footerView, ...
- 【FastDev4Android框架开发】RecyclerView完全解析之下拉刷新与上拉加载SwipeRefreshLayout(三十一)...
转载请标明出处: http://blog.csdn.net/developer_jiangqq/article/details/49992269 本文出自:[江清清的博客] (一).前言: [好消息] ...
- 微信小程序开发之scroll-view上拉加载数据实现
微信小程序开发之scroll-view上拉加载数据实现 一.开发思路 1.使用小程序的scroll-view组件中提供了一个bindscrolltolower属性监听组件的滑动到了底部 https:/ ...
- 下拉加载 实现 java_[Java教程]iscroll5实现一个下拉刷新上拉加载的效果
[Java教程]iscroll5实现一个下拉刷新上拉加载的效果 0 2016-08-24 15:00:08 直接上代码!!! * { margin: 0; padding: 0; } ul, li { ...
- Flutter ListView封装,下拉刷新、上拉加载更多
Flutter ListView封装,下拉刷新.上拉加载更多 封装了Flutter的ListView,只要传递请求数据的方法和绘制item的方法进去就可以绘制ListView,同时支持下拉刷新.上 ...
- android listview自动加载更多,如何实现 Android ListView『上拉加载更多』?
ListView上拉加载更多的UI需求 (1)向上滑动 ListView,当最后一个条目滚入屏幕时开始加载更多条目,在列表底部增加一个 footerView:一个 infinite progressB ...
- vue实现网络图片瀑布流 + 下拉刷新 + 上拉加载更多
一.思路分析和效果图 用vue来实现一个瀑布流效果,加载网络图片,同时有下拉刷新和上拉加载更多功能效果.然后针对这几个效果的实现,捋下思路: 根据加载数据的顺序,依次追加标签展示效果: 选择哪种方式实 ...
- react-native ListView 封装 实现 下拉刷新/上拉加载更多
1.PageListView 组件封装 src/components/PageListView/index.js /*** 上拉刷新/下拉加载更多 组件*/ import React, { Compo ...
- android studio上拉加载,AndroidStudio的PullToRefreshListView简单使用
PullToRefreshListView的下载:https://github.com/chrisbanes/Android-PullToRefresh 1.先将其中的library倒入到Module ...
最新文章
- Windows操作系统产品名与内部版本号的对应(windows版本号)
- IK分词源代码分析学习——与solr4.0接口
- activiti监听器使用
- java文件批量重命名6,批量重命名文件DOS脚本
- zxing 如何识别反转二维码
- 文件上传漏洞原理与实例测试
- 连接oracle数据库代码,oracle数据库的连接代码
- jQuery当当网项目实现
- 使用qt制作License(原理)
- emWin6.12模拟器发布,更新内容较多,增加环形控件,WIFI二维码(2020-04-09)
- VScode透明主题
- JavaScript Lodash 工具库
- Codeforces Gym 100015F Fighting for Triangles 状压DP
- 获取svg元素的高度和宽度(或其他属性)
- 微商怎么引流?不懂这些就引不来流量!
- 把opencv Mat 按位存成bmp二值图像 (1bit 1pixel)(位深度为1)
- Unity自带GL详解
- Windows NDK安装及开发
- 基于即时通信软件聊天界面的设计
- Photoshop支持ICO图片格式