刚刚想到了一个恶意软件攻击系统的方式,目前我没有关注过类似的样本,但是类似的样本应该是有的,实在没有也可以自己造一个,因为实现起来的技术难度并不大。我怀疑以前有人在论坛里面反馈过的全盘查杀无论如何都扫描不出来病毒但是系统中还是在源源不断地生成病毒文件的原因很可能就是因为恶意代码不在文件而在注册表当中,不包含恶意代码的恶意程序从注册表中读取恶意代码写入到文件中。
希望瑞星能够对这种方式进行防御和查杀。
考虑以下的攻击方式:
步骤:
1. 将恶意代码的二进制 payload 存入注册表中(注册表可以直接存储二进制数据)
2. 恶意软件(不包含恶意代码)从注册表中读取恶意代码的二进制 payload,将其载入内存映像或写到文件然后执行其中的恶意代码
建议:
1. 瑞星查杀引擎新增“注册表查杀”,对注册表中的所有键值进行扫描,如果遇到包含有恶意代码的内容则删除该键值
2. 瑞星“注册表监控”除了监控恶意软件对注册表的篡改之外,还应该像文件监控那样,对注册表内容的存取进行监控,阻断程序向注册表中写入恶意代码和从注册表中读取恶意代码,一旦发现注册表中的恶意代码则删除该键值。
这里我提供一个包含了一个勒索病毒二进制 payload 的注册表文件,可以供你们测试。
这个注册表信息文件会在HKEY_CURRENT_USER\TestKey中添加一个名为 Test 的键值,它的数据就是一个勒索病毒的二进制数据。
用户系统信息:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.140 Safari/537.36 Edge/18.17763附件:
test.zip