国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

新惡意軟件使用 MSIX 軟件包來感染 Windows

2年前作者:網(wǎng)絡(luò)研究院分類:Toy博客閱讀(38)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了新惡意軟件使用 MSIX 軟件包來感染 Windows。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方,請(qǐng)大家不吝賜教,您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問。

新惡意軟件使用 MSIX 軟件包來感染 Windows,網(wǎng)絡(luò)研究院,windows,系統(tǒng),惡意,軟件,安全

人們發(fā)現(xiàn),一種新的網(wǎng)絡(luò)攻擊活動(dòng)正在使用 MSIX(一種 Windows 應(yīng)用程序打包格式)來感染 Windows PC,并通過將隱秘的惡意軟件加載程序放入受害者的 PC 中來逃避檢測。

Elastic Security Labs 的研究人員發(fā)現(xiàn),開發(fā)人員通常使用 MSIX 來打包、分發(fā)和安裝其應(yīng)用程序給 Windows 用戶,并且現(xiàn)在被用于初始感染,以提供名為 Ghostpulse 的惡意軟件加載程序。

研究人員在博客文章中表示:在常見的攻擊場景中,我們懷疑用戶被引導(dǎo)通過受感染的網(wǎng)站、搜索引擎優(yōu)化 (SEO) 技術(shù)或惡意廣告下載惡意 MSIX 軟件包。

觀察到的偽裝主題包括 Chrome、Brave、Edge、Grammarly 和 WebEx 的安裝程序,其中重點(diǎn)介紹了一些。

只需“雙擊”即可通過 Windows 應(yīng)用安裝程序安裝 MSIX 包,而無需精心使用 PowerShell 等部署和配置工具。

惡意 MSIX 必須擁有購買或簽名的證書才能進(jìn)行可行的攻擊。

通過 DLL 旁加載進(jìn)行初始感染

感染是從一個(gè)可執(zhí)行文件開始的多個(gè)階段進(jìn)行的。

啟動(dòng) MSIX 文件會(huì)打開一個(gè)窗口,提示安裝操作,最終導(dǎo)致 Ghostpulse 的秘密下載。

在第一階段,安裝程序下載磁帶存檔 (TAR) 文件負(fù)載,該負(fù)載是一個(gè)偽裝成 Oracle VM VirtualBox 服務(wù) (VBoxSVC.exe) 的可執(zhí)行文件。

但實(shí)際上是與 Notepad++ (gup.exe) 捆綁在一起的合法二進(jìn)制文件,它很容易受到側(cè)面加載的影響。

PowerShell 執(zhí)行二進(jìn)制文件 VBoxSVC.exe,該文件將從當(dāng)前目錄加載惡意 DLL libcurl.dll。

通過最大限度地減少加密惡意代碼在磁盤上的占用空間,威脅行為者能夠逃避基于文件的 AV 和 ML 掃描。

Ghospulse 用作裝載機(jī)

根據(jù)該博客,Ghostpulse 采用 Process Doppelganging 并充當(dāng)加載程序,利用 NTFS 事務(wù)功能將最終有效負(fù)載注入新的子進(jìn)程中。

最終的惡意軟件包括各種信息竊取程序,例如 SectopRAT、Rhadamanthys、Vidar、Lumma 和 NetSupport RAT。

Ghostpulse 第三階段(最后一步)的目標(biāo)是在另一個(gè)進(jìn)程中加載??并執(zhí)行最終的有效負(fù)載。

第 3 階段的一個(gè)有趣的部分是,它用新指令覆蓋以前執(zhí)行的指令,從而使分析變得困難。

Ghostpulse 加載程序還能夠建立持久性。

更多分析點(diǎn)擊原文閱讀:GHOSTPULSE 使用防御規(guī)避技巧來困擾受害者

新惡意軟件使用 MSIX 軟件包來感染 Windows,網(wǎng)絡(luò)研究院,windows,系統(tǒng),惡意,軟件,安全

Elastic Security Labs 揭示了利用防御規(guī)避功能通過惡意 MSIX 可執(zhí)行文件感染受害者的新活動(dòng)的詳細(xì)信息。文章來源地址http://www.zghlxwxcb.cn/news/detail-726570.html

到了這里,關(guān)于新惡意軟件使用 MSIX 軟件包來感染 Windows的文章就介紹完了。如果您還想了解更多內(nèi)容,請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點(diǎn)僅代表作者本人,不代表本站立場。本站僅提供信息存儲(chǔ)空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請(qǐng)注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符,請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋,一經(jīng)查實(shí),立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

相關(guān)文章

  • 使用dpkg時(shí),提示:dpkg:處理軟件包XXX時(shí)出錯(cuò)

    使用dpkg時(shí),提示:dpkg:處理軟件包XXX時(shí)出錯(cuò)

    kali安裝中文輸入法、linux安裝中文輸入法 這次的內(nèi)容主要是因?yàn)樵趉ali中安裝搜狗輸入法引發(fā)的。 今天kali上安裝搜狗輸入法時(shí),顯示依賴關(guān)系問題,無法安裝,百度搜了一下,找到解決方法。 使用dpkg時(shí),提示:dpkg:處理軟件包XXX時(shí)出錯(cuò): 依賴關(guān)系問題,仍未被配置 類似于

    2024年02月05日
    瀏覽(46)

  • 在linux下如何使用yum命令查看安裝了哪些軟件包

    Linux 系統(tǒng)下 yum 命令查看安裝了哪些軟件包: 1. 使用 yum 查找軟件包 命令: 2. 列出所有可安裝的軟件包 命令: 3. 列出所有可更新的軟件包 命令: 4. 列出所有已安裝的軟件包 命令: 5. 列出所有已安裝但不在 Yum Repository 內(nèi)的軟件包 命令: 6. 使用 yum 獲取軟件包信息 命令:

    2024年02月02日
    瀏覽(30)
  • 【AIGC】單圖換臉離線版軟件包及使用方法

    【AIGC】單圖換臉離線版軟件包及使用方法

    云端再好,都不如放自己手里啊,想怎么就怎么玩。云端再好,都不如放自己手里啊,想怎么就怎么玩。 Roop作為一個(gè)新出的開源項(xiàng)目,配置起來還是有一定難度的。 我已經(jīng)把各種依賴,模型,環(huán)境配置已經(jīng)都弄好了。 另外還放了一個(gè)演示素材,人臉版權(quán)限制,無法在此展示

    2024年01月22日
    瀏覽(21)
  • 使用composer生成的DMG和PKG格式軟件包有何區(qū)別

    使用composer生成的DMG和PKG格式軟件包有何區(qū)別

    在使用Composer從包源構(gòu)建軟件包時(shí)候,有兩種不同類型的包:PKG和DMG。你知道兩者之間的區(qū)別嗎? 以及如何選取嗎? ? ? 每種格式都有各自的優(yōu)勢具體取決于軟件包的預(yù)期用途以及用于部署軟件包的工具。下面我們來了解一下PKG和DMG格式的區(qū)別和用途。 ? ? PKG格式的軟件包幾

    2024年01月18日
    瀏覽(30)
  • 【Linux】軟件包管理器 yum和編輯器-vim的基本使用

    【Linux】軟件包管理器 yum和編輯器-vim的基本使用

    我們?cè)诎惭b一個(gè)軟件之前,需要先下載其對(duì)應(yīng)的軟件安裝包,但是這個(gè)軟件安裝包并不存在于我們本地電腦的磁盤上,而是存在于遠(yuǎn)端的服務(wù)器上,對(duì)此,我們可能就有疑問,那么我們的計(jì)算機(jī)是如何得知我們下載的軟件在哪個(gè)服務(wù)器上呢? 對(duì)于我們的電腦來說,我們可以到

    2024年02月03日
    瀏覽(24)
  • 使用jenkins nexus插件配置并上傳軟件包至nexus制品庫詳細(xì)步驟

    使用jenkins nexus插件配置并上傳軟件包至nexus制品庫詳細(xì)步驟

    Nexus 是一個(gè)強(qiáng)大的倉庫管理工具,用于管理和分發(fā) Maven、npm、Docker 等軟件包。它 提供了一個(gè)集中的存儲(chǔ)庫,用于存儲(chǔ)和管理軟件包 ,并提供了版本控制、訪問控制、構(gòu)建和部署等功能。 Nexus 可以幫助開發(fā)團(tuán)隊(duì)提高軟件包管理的效率和可靠性,減少軟件包沖突和版本不一致的

    2024年02月05日
    瀏覽(39)
  • 【Linux的開胃小菜】常用的RPM軟件包與YUM倉庫包管理器使用

    【Linux的開胃小菜】常用的RPM軟件包與YUM倉庫包管理器使用

    systemd與System V init的區(qū)別以及作用: System V init運(yùn)行級(jí)別 systemd目標(biāo)名稱 systemd目標(biāo)作用 0 poweroff.target 關(guān)機(jī) 1 rescue.target 單用戶模式 2 multi-user.target 多用戶的文本界面 3 multi-user.target 多用戶的文本界面 4 multi-user.target 多用戶的文本界面 5 graphical.target 多用戶的圖形界面 6 reboot.t

    2024年02月13日
    瀏覽(88)
  • RT-Thread 軟件包-物聯(lián)網(wǎng)-網(wǎng)絡(luò)工具集NetUtils使用指南①

    RT-Thread 軟件包-物聯(lián)網(wǎng)-網(wǎng)絡(luò)工具集NetUtils使用指南①

    本文介紹 RT-Thread NetUtils 的使用方法,幫助開發(fā)者更好地使用 RT-Thread NetUtils 組件來解決網(wǎng)絡(luò)開發(fā)過程中遇到的問題。 簡介 在進(jìn)行網(wǎng)絡(luò)相關(guān)的產(chǎn)品開發(fā)和調(diào)試時(shí),一些好用的小工具往往能取到事半功倍的效果。 RT-Thread NetUtils 組件基于此應(yīng)用場景,開發(fā)和封裝了一系列簡潔好

    2024年02月20日
    瀏覽(25)
  • 一篇文章打好SQL基礎(chǔ),熟悉數(shù)據(jù)庫的基礎(chǔ)操作和方法,以及安裝MySQL軟件包和Python操作MySQL基礎(chǔ)使用

    一篇文章打好SQL基礎(chǔ),熟悉數(shù)據(jù)庫的基礎(chǔ)操作和方法,以及安裝MySQL軟件包和Python操作MySQL基礎(chǔ)使用

    SQL的全稱:Structured Query Language,結(jié)構(gòu)化查詢語言,用于 訪問和處理數(shù)據(jù)庫的標(biāo)準(zhǔn)計(jì)算機(jī)語言 。 SQL語言1974年有Boyce和Chamberlin提出的,并且首先在IBM公司研制的關(guān)系數(shù)據(jù)庫系統(tǒng)SystemR上實(shí)現(xiàn)。 經(jīng)過多年發(fā)展,SQL已經(jīng)成為數(shù)據(jù)庫領(lǐng)域同意的數(shù)據(jù)操作標(biāo)準(zhǔn)語言,可以說幾乎市面上所

    2024年02月08日
    瀏覽(104)
  • 沒有可用的軟件包 python,但是它被其它的軟件包引用了

    沒有可用的軟件包 python,但是它被其它的軟件包引用了

    按照網(wǎng)上找的解決辦法: 然而我還是會(huì)有這個(gè)問題: ?后來我注意到錯(cuò)誤提示里有“取代它...?python-is-python3” 然后就試著將sudo apt install python 改為sudo apt install python-is-python3? 就可以了 ?輸入python命令可以看到: ?

    2024年02月15日
    瀏覽(36)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請(qǐng)作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包