有不少惡意程式都會利用程式碼注入(Code Injection)技術把惡意程式嵌入合法的程序中以躲避偵測,同時資安業者也發展出相對應的Hook機制來找出它們,不過,資安業者Cyberbit本周揭露了一款新的程式碼注入方式,它能在Hook機制運作前就載入惡意程式,因而被命名為「早鳥」(Early Bird)程式碼注入技術。

惡意程式的程式碼注入流程是先設立一個偽造的合法程序,把惡意程式與異步過程調用(APC)置入該程序,之後重新開始程序的主要執行緒以執行APC。另一方面,防毒軟體則為此設計了Hook功能,可監控API的呼叫以辨識惡意活動。

然而,Early Bird手法卻是於執行緒初始化非常早期的階段,在許多防毒軟體還沒部署Hook前就載入惡意程式碼,而能在不被偵測到的狀態下展開惡意行動。

Cyberbit表示,目前已發現多款採用早鳥程式注入手法的惡意程式,包括伊朗駭客集團APT33所撰寫的TurnedUp後門程式,以及可用來執行阻斷服務攻擊或竊取密碼的通用惡意程式DorkBot。其中,去年9月才曝光的TurnedUp能夠竊取資料、建立反向Shell、拍攝螢幕畫面及收集系統訊息等。


Advertisement

更多 iThome相關內容