安全研究人員(yuán)近期注意到一(yī)個利用 Windows 事件日志(zhì)來存儲惡意軟件的活動，這項技術此前并沒有被記錄用于黑客攻擊。這種方法使攻擊者能夠在文件系統中(zhōng)植入無文件的惡意軟件，這種攻擊充滿了技術和模塊，旨在盡可能保持活動的隐蔽性。

卡巴斯基的研究人員(yuán)在配備該公司産品的客戶電(diàn)腦上，通過基于行爲的檢測和異常控制技術确認了這項威脅，并收集了該惡意軟件的樣本。調查顯示，該惡意軟件是一(yī)個“非常有針對性”的活動的一(yī)部分(fēn)，并依賴于大(dà)量的工(gōng)具，包括定制的和商(shāng)業上可用的。

卡巴斯基首席安全研究員(yuán) Denis Legezo 說，這種方法是在惡意活動中(zhōng)首次在實際攻擊中(zhōng)使用。該投放(fàng)器将合法的操作系統錯誤處理文件 WerFault.exe 複制到'C:WindowsTasks'，然後将加密的二進制資(zī)源投放(fàng)到同一(yī)位置的'wer.dll'（Windows錯誤報告），進行DLL搜索順序劫持以加載惡意代碼。

DLL 劫持是一(yī)種黑客技術，利用檢查不充分(fēn)的合法程序，從任意路徑向内存加載惡意的動态鏈接庫（DLL）。Legezo說，投放(fàng)器的目的是在磁盤上加載器，用于側面加載過程，并在事件日志(zhì)中(zhōng)尋找特定的記錄（類别0x4142 - ASCII中(zhōng)的'AB'。如果沒有找到這樣的記錄，它就寫下(xià)8KB的加密shellcode塊，這些塊後來被組合成下(xià)一(yī)個stager的代碼。

卡巴斯基首席安全研究員(yuán) Denis Legezo 表示：“被丢棄的wer.dll是一(yī)個加載器，如果沒有隐藏在Windows事件日志(zhì)中(zhōng)的shellcode，它不會造成任何傷害”。

本文轉載自安全圈