天创培训:您身边的信息安全培训专家!
开班计划
2019年9月CISP培训开班通知
主讲老师   张老师、王老师等
开课时间   2019年9月4日-9日
培训方式   实地/面授
授课天次   培训5天+考试半天
上课时间   09:00 -- 16:30
课程介绍 在线报名
行业动态您当前位置:首页 > 最新动态 > 行业动态

旧瓶装新酒,中国黑客执行远程攻击

作者:天创培训  来源:px.tcnet.com.cn  更新时间:2019-09-27  关键词:黑客

旧瓶装新酒,中国黑客执行远程攻击



据外媒报道,一批中国黑客正在用木马版应用程序取代目标Windows系统上的合法程序。

而这一版本允许他们获取账户的最高权限,远程执行操作。

借助NVIDIA获取初始权限


这个应用程序名叫Narrator,是Windows系统的屏幕阅读功能,能够带给视力障碍用户更好的导航操作,优化体验提高效率。

其他辅助功能程序包括屏幕键盘,放大镜,显示切换器和应用程序切换器。那么,这些黑客是如何获取初始访问权限的呢?

为了让用户在桌面上运行伪造的Narrator,黑客首先使用定制的开源PcShare后门版本来破坏系统。


他们使用DLL side-loading,内存注入和误导策略来确保隐身操作。

此外,借助合法的NVIDIA Smart Maximise Helper Host应用程序,可以在目标系统上获得后门。

此程序也被用于加载恶意DLL,将其加载到“ rundll32.exe”的内存中并执行。

旧瓶装新酒,中国黑客执行远程攻击


该恶意软件的初始目的是在电脑上获取初步的立足点,为更深层次的攻击打下基础。

利用Narrator进行远程攻击

由于用户使用程序的登录过程中带有系统权限,这导致远程攻击者可对其进行修改,在远程桌面屏幕上生成一个提升权限的命令提示(vmd.exe)窗口。

尽管这类攻击并不新鲜,但中国黑客采用了一种全新的方法。

此前也有其他攻击者试图利用Narrator,但都做得很差。而这次的攻击中,伪造的程序取代了真正的Narrator,并且使用一个隐藏的窗口来启动它,使伪造软件变得以假乱真。

当用户在界面输入正确的密码后,隐藏的窗口将会变为可见,攻击者就可以利用这种方法来提升权限以执行命令或者进行远程代码攻击。

旧瓶装新酒,中国黑客执行远程攻击



据推断,这批黑客可能是Tropic Trooper或KeyBoy,这两个黑客组织在近五年来活跃在各地,利用恶意软件进行网络攻击。




推荐阅读

网站首页 |  关于天创 |  课程体系 |  最新动态 |  联系我们 |  网站地图 |  二维码
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
苏州总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000