据观察,名为Quasar RAT 的开源远程访问木马利用 DLL 侧面加载在雷达下飞行,并从受感染的 Windows 主机中秘密窃取数据。
Uptycs 研究人员 Tejaswini Sandapolla 和 Karthickkumar Kathiresan在上周发布的一份报告中表示,“这种技术利用了 Windows 环境中这些文件命令的固有信任”,详细介绍了该恶意软件对 ctfmon.exe 和 calc.exe 作为攻击链一部分的依赖。
Quasar RAT 也称为 CinaRAT 或 Yggdrasil,是一种基于 C# 的远程管理工具,能够收集系统信息、正在运行的应用程序列表、文件、击键、屏幕截图以及执行任意 shell 命令。
DLL 侧面加载是许多威胁行为者采用的一种流行 技术,通过植入已知良性可执行文件正在寻找的名称的欺骗性 DLL 文件来执行自己的有效负载。
MITRE在对攻击方法的解释中指出:“攻击者可能会使用侧面加载作为掩盖他们在合法、可信且可能提升的系统或软件进程下执行的操作的手段。”
