adtop
金财网 > 资讯

黑客滥用微软Win10/Win11上错误报告工具,通过DLL旁加载技术运

www.041799.com|时间:2023-01-06 14:23|责任编辑:文辉|来源: IT之家   阅读量:7703   

,黑客滥用微软Win10/Win11系统内置的错误报告工具Windows Problem Reporting,通过DLL侧加载技术在被感染设备的内存上运行恶意软件。

黑客滥用微软Win10/Win11上错误报告工具,通过DLL旁加载技术运

一开始黑客通过合法的Windows可执行文件启动恶意软件,整个过程不会触发任何警告,从而秘密感染设备Ksecurity Labs安全公司最先发现了这种攻击方法

恶意软件活动始于带有ISO附件的电子邮件。双击ISO文件后,用户将自己安装为一个新的驱动器号,其中包含Windows WerFault.exe可执行文件的合法副本,一个DLL文件,一个XLS文件和一个快捷方式文件(inventory amp我们的特色菜.

本站了解到,受害者通过点击快捷方式文件启动了感染链,该文件使用scriptrunner.exe来执行WerFault.exeWer是Windows 10和11中使用的标准Windows错误报告工具,允许系统跟踪和报告与操作系统或应用程序相关的错误

杀毒工具通常会信任WerFault,因为它是微软签署的合法Windows可执行文件,所以在系统上启动它通常不会触发警报来警告受害者。

WerFault.exe启动后,恶意软件会利用已知的dll侧加载缺陷,加载ISO中包含的恶意fault rep . DLLDLL。

通常, ' faultlep.dll '文件是Microsoft在C:WindowsSystem32文件夹中要求的合法DLL,以便WerFault正确运行但是,ISO中的恶意DLL版本包含启动恶意软件的附加代码

郑重声明:此文内容为本网站转载企业宣传资讯,目的在于传播更多信息,与本站立场无关。仅供读者参考,并请自行核实相关内容。

热搜:Win,微软,技术 收藏
精选
adr03