微软警告：软件更新程序易被黑客“劫持”

关于网安视界

每天精选深度网络安全业内文章，专注网络空间安全新传媒,致力于打造该领域最具价值的情报站和智库,建设网络安全爱好者们交流、分享技术的新型媒体。

近日，微软公司警告称，高级攻击者正在使用内存中的恶意软件、合法的笔式测试工具和损坏的更新程序来攻击银行和技术公司。

微软公司发现了一个精心策划编排的攻击，它劫持了一个未命名的编辑工具的软件供应链。微软警告软件供应商要加强保护他们的更新进程。

攻击者使用一种很受欢迎但未命名的编辑软件的更新机制，在几个著名的技术公司和金融机构中站稳了脚跟。软件供应商本身也受到了攻击。

微软WilySupply的间谍活动很有可能是被金钱所推动的，主要目标是融资和支付行业的公司。

在这种情况下，他们使用的更新程序在扫描受害者的网络并建立远程访问之前提供了“未签名的低流行可执行文件”。

攻击可信软件的更新过程是攻击者的一个入口，因为用户依靠这个机制来接收有效的更新和补丁。

微软指出，许多攻击已经用过这样的技术，例如2013年存储服务SimDisk 的安装程序的恶意版本破坏了好几家韩国企业。

攻击者可以获得免费的开源笔测试工具如Evil Grade，利用错误的更新注入虚假的软件更新。正如微软所说，WilySupply只是通过独特的策略和工具来防范攻击者的属性。

攻击者使用的另一个笔式测试工具是Metaplsoit， Meterpreter框架中内存组件。

“下载的可执行文件证明是一个恶意的二进制文件，它启动了与Meterpreter反向外壳捆绑在一起的PowerShell脚本，该外壳授予了远程攻击者无提示的控制权，微软检测到该二进制文件为Rivit。”Microsoft指出。

尽管依赖于商品工具，但微软注意到一些典型的高级攻击者的特征，包括使用自毁的初始二进制文件，以及用仅限内存或无文件的有效载荷来逃避防病毒检测。

卡巴斯基2月份的报告说，全球银行内存上的恶意软件攻击有所增加，攻击者使用Meterpreter和标准Windows实用程序来执行攻击。

微软用Windows Defender高级威胁防护（ATP）控制台将客户站点的感染源追溯到受损的更新程序。Windows 10安全功能包含调查恶意软件的爆发。

微软展示了Windows Defender ATP是如何检测异常更新器的

“通过Windows Defender ATP控制台，利用时间轴和流程树视图，我们能够识别恶意活动的过程，并精确确定发生的时间。这些活动追溯到了编辑工具的更新程序。”微软说。

“受影响的机器上的Temp文件夹的检查指出，我们将一个合法的第三方更新程序作为运行服务，恶意活动在被观察到之前下载了一个无符号的低流行可执行文件。”

本文由网安视界（网络空间安全情报站和智库）独家创作整理，转载请注明出处。