產品訊息

→新聞中心

 

流程再造:Cyber​​crook的惡意軟體新偽裝

截至2019年初,Windows 10在超過7億台設備上運行,包括PC,平板電腦,手機甚至一些遊戲機。然而,事實證明,廣泛使用的Windows操作系統在如何具體確定磁盤上的過程映像文件位置方面存在一些不一致之處。我們的邁克菲高級威脅研究團隊決定分析這些不一致情況,結果發現了一個名為流程重新映像的新網絡威脅。類似於工藝摻雜工藝空心化,這種技術避開了安全措施,但更容易,因為它不需要代碼注入。具體而言,此技術會影響Windows端點安全解決方案檢測系統上執行的進程是惡意還是良性的能力,從而允許網絡犯罪分子在未檢測到的設備上進行業務。

讓我們深入了解這一威脅的細節。流程重新映像利用內置的Windows API或應用程序編程接口,允許應用程序和操作系統相互通信。一個名為K32GetProcessImageFileName的API允許端點安全解決方案(如Windows Defender)驗證與進程關聯的EXE文件是否包含惡意代碼。但是,通過流程重新映像,網絡犯罪分子可能會破壞安全解決方案對Windows操作系統API的信任,以顯示不一致的FILE_OBJECT名稱和路徑。因此,Windows Defender誤解了它正在查看的文件名或路徑,並且無法再判斷某個進程是否值得信任。通過使用這種技術,網絡犯罪分子可以堅持在用戶設備上執行的惡意進程,甚至不知道它。

那麼,接下來的問題是 - Windows用戶可以做些什麼來保護自己免受這種潛在威脅?查看這些見解以幫助確保您的設備安全:

  • 更新您的軟體。微軟已發布部分修復程序,阻止網絡犯罪分子利用文件名來偽裝惡意代碼,這有助於解決至少部分問題僅適用於Windows Defender。雖然文件路徑仍然可以利用,但是定期更新軟件以確保始終擁有最新的安全補丁是值得的,因為這是一種可靠的做法,可以用於您的網絡安全日常工作。
  • 與您的端點安全供應商合作。為幫助確保您免受此威脅的侵害,請與您的端點安全提供商聯繫,以了解它們是否可以防止進程重新映像。

資料來源:https://securingtomorrow.mcafee.com/consumer/consumer-threat-notices/process-reimaging/