文章预览
2024-09-03 微信公众号精选安全技术文章总览 洞见网安 2024-09-03
0x1 针对中国用户的SLOW#TEMPEST 行动中DLL劫持分析 黑白天实验室 2024-09-03 22:03:50
Securonix威胁研究团队最近揭示了一项名为SLOW#TEMPEST的网络攻击行动,该行动主要针对中国境内的用户。攻击手段包括利用UI.exe进行DLL侧载(DLL侧通道攻击)来部署恶意软件。攻击者利用了伪装成.docx文件的LNK文件作为诱饵,一旦受害者点击,就会触发LicensingUI.exe执行,并加载恶意的dui70.dll。dui70.dll含有用于执行cobalt strike的shellcode。LicensingUI.exe实际上是Windows系统中的合法组件,位于'C:\Windows\System32'目录下,拥有合法的Windows签名,这使得它能够逃避安全检测。攻击者通过对这个合法组件进行DLL劫持,实现了恶意代码的执行。实验验证显示,当LicensingUI.exe从桌面运行时,它可以加载同目录下的dui70.dll,而非系
………………………………