• 2022-09-16 17:00:00
  • 阅读(5519)
  • 评论(2)
  • 平安公司Cybereason的一项新研讨注解,威逼到场者可能会滥用Notepad++ 插件来绕过平安机制并在受害者机器上完成持久性。

    该公司在周三的一份征询中写道:“一位名为 RastaMouse 的平安研讨职员可以或许使用开源项目Notepad++ Plugin Pack演示如何构建一个可用作持久性机制的恶意插件。”

    插件包自己只是 Visual Studio 的一个 .NET 包,它供应了构建插件的基础模板。但是,高等持续性威逼 (APT) 组织过去曾行使 Notepad++ 插件举行恶意流动。

    Cybereason 通告中写道:“众所周知,APT组织StrongPity会行使带有恶意可执行文件的合法Notepad++装置步伐,使其在机器从新启动后仍然存在。”

    这个后门使这个威逼举动者可以或许在机器上装置一个键盘纪录器,并与C2办事器通讯以发送这个软件的输出。

    在他们的征询中,Cybereason团队阐明了Notepad++插件加载机制,并基于此向量起草了一个攻击场景。

    使用C#编程说话,平安专家创建了一个动态链接库 (DLL),在第一次初始按下Notepad++中的任何键时运行PowerShell下令。

    该公司写道:“在我们的攻击场景中,PowerShell下令将执行Meterpreter无效载荷。”

    Cybereason然后以管理员身份运行Notepad++并从新运行无效负载,无效地管理以获得受影响零碎的管理权限。

    为了减轻这类威逼,平安专家表示,公司应当监控Notepad++的异常子进程,并特别注不测壳产物类型。

    有关攻击场景的更多信息,可在此链接上找到最初的Cybereason通告。

    更一样平常地说,插件经常被恶意举动者用作攻击序言。比方,上周,Wordfence呈报了一个名为 BackupBuddy 的 WordPress 插件中的零日漏洞,装置量为500万。

    公布于:北京市
    52  收藏