TDOHConf Workshop 2018: Playing Malware Injection with Exploit thoughts

229b1596ce57cd0935a2bacd410d87a0?s=47 馬聖豪
September 28, 2018

TDOHConf Workshop 2018: Playing Malware Injection with Exploit thoughts

以往駭客希望繞過防毒軟體或者系統防護產品的白名單保護時,通常會採用惡意程式碼注入手段,將自身具有惡意的程式碼注入在白名單中的系統服務中執行起來,避免遭受防毒軟體或者防護產品白名單防護查殺。

當駭客做惡意程式碼注入時,通常會採用 RunPE、AtomBombing、跨行程創建執行緒等等手段來做到程式碼注入、駭客可以偽造自己的執行程式為任何系統關鍵服務;不過在市面上防毒廠商日趨進步下,這些敏感手段已經逐漸會被主動防禦查殺,不過——萬一作業系統關鍵服務本身早已千瘡百孔呢?駭客手段已經逐漸高明、動刀在記憶體之戰上。

本議程將簡單帶過 2013 年後出現的新型態記憶體層級注入手法—— PowerLoadEx,並基於此概念上披露三種未曾出現於網路上的全新注入手段,善用了 Windows 本身關鍵記憶體缺陷弱點,藉此來注入惡意行為至系統關鍵服務。內容將涵蓋 Windows 系統程式逆向分析、記憶體弱點分析、如何實作與利用。

229b1596ce57cd0935a2bacd410d87a0?s=128

馬聖豪

September 28, 2018
Tweet