安基网 首页 资讯 安全报 查看内容

旧瓶装新酒,中国黑客执行远程攻击

2019-9-27 02:31| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 据外媒报道,一批中国黑客正在用木马版应用程序取代目标Windows系统上的合法程序。而这一版本允许他们获取账户的最高权限,远程执行操作。借助NVIDIA获取初始权限这个应用程序名叫Narrator,是Windows系统的屏幕阅读功能,能够带给视力障碍用户更好的导航操作,优化体验提高效率。其他辅助功能程序包括 ...



据外媒报道,一批中国黑客正在用木马版应用程序取代目标Windows系统上的合法程序。

而这一版本允许他们获取账户的最高权限,远程执行操作。

借助NVIDIA获取初始权限


这个应用程序名叫Narrator,是Windows系统的屏幕阅读功能,能够带给视力障碍用户更好的导航操作,优化体验提高效率。

其他辅助功能程序包括屏幕键盘,放大镜,显示切换器和应用程序切换器。那么,这些黑客是如何获取初始访问权限的呢?

为了让用户在桌面上运行伪造的Narrator,黑客首先使用定制的开源PcShare后门版本来破坏系统。


他们使用DLL side-loading,内存注入和误导策略来确保隐身操作。

此外,借助合法的NVIDIA Smart Maximise Helper Host应用程序,可以在目标系统上获得后门。

此程序也被用于加载恶意DLL,将其加载到“ rundll32.exe”的内存中并执行。

该恶意软件的初始目的是在电脑上获取初步的立足点,为更深层次的攻击打下基础。

利用Narrator进行远程攻击

由于用户使用程序的登录过程中带有系统权限,这导致远程攻击者可对其进行修改,在远程桌面屏幕上生成一个提升权限的命令提示(vmd.exe)窗口。

尽管这类攻击并不新鲜,但中国黑客采用了一种全新的方法。

此前也有其他攻击者试图利用Narrator,但都做得很差。而这次的攻击中,伪造的程序取代了真正的Narrator,并且使用一个隐藏的窗口来启动它,使伪造软件变得以假乱真。

当用户在界面输入正确的密码后,隐藏的窗口将会变为可见,攻击者就可以利用这种方法来提升权限以执行命令或者进行远程代码攻击。


据推断,这批黑客可能是Tropic Trooper或KeyBoy,这两个黑客组织在近五年来活跃在各地,利用恶意软件进行网络攻击。

* 图片来源:Bleeping Computer

* 本文由看雪编辑 LYA 编译自 Bleeping Computer,转载请注明来源及作者。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6740914254657880580/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部