据外媒报道,一批中国黑客正在用木马版应用程序取代目标Windows系统上的合法程序。
而这一版本允许他们获取账户的最高权限,远程执行操作。
借助NVIDIA获取初始权限
这个应用程序名叫Narrator,是Windows系统的屏幕阅读功能,能够带给视力障碍用户更好的导航操作,优化体验提高效率。
其他辅助功能程序包括屏幕键盘,放大镜,显示切换器和应用程序切换器。那么,这些黑客是如何获取初始访问权限的呢?
为了让用户在桌面上运行伪造的Narrator,黑客首先使用定制的开源PcShare后门版本来破坏系统。
他们使用DLL side-loading,内存注入和误导策略来确保隐身操作。
此外,借助合法的NVIDIA Smart Maximise Helper Host应用程序,可以在目标系统上获得后门。
此程序也被用于加载恶意DLL,将其加载到“ rundll32.exe”的内存中并执行。
该恶意软件的初始目的是在电脑上获取初步的立足点,为更深层次的攻击打下基础。
利用Narrator进行远程攻击
由于用户使用程序的登录过程中带有系统权限,这导致远程攻击者可对其进行修改,在远程桌面屏幕上生成一个提升权限的命令提示(vmd.exe)窗口。
尽管这类攻击并不新鲜,但中国黑客采用了一种全新的方法。
此前也有其他攻击者试图利用Narrator,但都做得很差。而这次的攻击中,伪造的程序取代了真正的Narrator,并且使用一个隐藏的窗口来启动它,使伪造软件变得以假乱真。
当用户在界面输入正确的密码后,隐藏的窗口将会变为可见,攻击者就可以利用这种方法来提升权限以执行命令或者进行远程代码攻击。
据推断,这批黑客可能是Tropic Trooper或KeyBoy,这两个黑客组织在近五年来活跃在各地,利用恶意软件进行网络攻击。