木马PlugX在最近的攻击中伪装成合法的 Windows 开源工具

研究人员详细描述了新一轮的攻击浪潮，将 PlugX RAT 伪装成合法的 Windows 调试器工具进行分发。

趋势科技发现了新一波恶意软件攻击，旨在分发伪装成名为x32dbg的开源Windows调试器工具的PlugX远程控制木马。合法工具允许检查内核模式和用户模式代码、故障转储或 CPU 寄存器。 

研究人员分析的x32dbg.exe具有有效的数字签名，因此某些安全工具认为它是安全的。它的使用允许威胁行为者避免检测、保持持久性、提升权限和绕过文件执行限制。

 当执行数字签名的软件应用程序（例如x32dbg调试工具 (x32dbg.exe)）时， RAT使用DLL侧加载来加载自己的恶意负载恶意 DLL。

攻击者通过修改注册表项和创建计划任务来实现持久性，即使在系统重新启动时也能保持访问。

专家报告说，x32dbg.exe被用来放置一个后门，一个 UDP shel 客户端，它收集系统信息，收集主机信息，并创建一个线程来不断等待C2命令，并使用硬编码密钥解密C&C通信。

“尽管安全技术取得了进步，但攻击者仍在继续使用这种技术，因为它利用了对合法应用程序的基本信任。” 总结报告还提供威胁指标 (IoC)。“只要系统和应用程序继续信任和加载动态库，这种技术就可以让攻击者传播恶意软件并获得对敏感信息的访问权限。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4472.html