KilllSomeOne恶意软件使用DLL侧面加载来提供恶意植入物
网络安全专家发现了一种名为KilllSomeOne的新恶意软件。它被用来攻击缅甸政府隶属的实体和组织。深入研究KilllSomeOne恶意软件的基础结构和代码库后发现,植入物很可能是总部位于中国的高级持久威胁(APT)参与者的产品。这也符合目标组织的概况。
KilllSomeOne恶意软件通常会在其有效载荷旁边提供其他恶意软件–研究人员曾几次设法从受感染的网络中抢救基本外壳,而在其他情况下,他们发现了更高级的恶意软件样本。在所有攻击中,KillSomeOne恶意软件都滥用了DLL侧加载技巧,该技巧已被APT参与者使用了至少7-8年。直到今天,它仍然是绕过Windows系统采用的某些默认安全策略的有效方法。好消息是,使用第三方防病毒软件通常足以缓解此类攻击。
KilllSomeOne恶意软件似乎可以用作加载程序/删除程序,与不同的恶意软件家族结合使用,对于APT参与者而言,有时看起来太简单了。到目前为止,还没有特定的小组与KilllSomeOne恶意软件活动相关联。