安全研究人員近期注意到一個利用 Windows 事件日志來存儲惡意軟件的活動，這項技術(shù)此前并沒有被記錄用于黑客攻擊。這種方法使攻擊者能夠在文件系統(tǒng)中植入無文件的惡意軟件，這種攻擊充滿了技術(shù)和模塊，旨在盡可能保持活動的隱蔽性。

卡巴斯基的研究人員在配備該公司產(chǎn)品的客戶電腦上，通過基于行為的檢測和異?？刂萍夹g(shù)確認(rèn)了這項威脅，并收集了該惡意軟件的樣本。調(diào)查顯示，該惡意軟件是一個“非常有針對性”的活動的一部分，并依賴于大量的工具，包括定制的和商業(yè)上可用的。

卡巴斯基首席安全研究員 Denis Legezo 說，這種方法是在惡意活動中首次在實際攻擊中使用。該投放器將合法的操作系統(tǒng)錯誤處理文件 WerFault.exe 復(fù)制到'C:\Windows\Tasks'，然后將加密的二進(jìn)制資源投放到同一位置的'wer.dll'(Windows錯誤報告)，進(jìn)行DLL搜索順序劫持以加載惡意代碼。

DLL 劫持是一種黑客技術(shù)，利用檢查不充分的合法程序，從任意路徑向內(nèi)存加載惡意的動態(tài)鏈接庫(DLL)。Legezo說，投放器的目的是在磁盤上加載器，用于側(cè)面加載過程，并在事件日志中尋找特定的記錄(類別0x4142 - ASCII中的'AB'。如果沒有找到這樣的記錄，它就寫下8KB的加密shellcode塊，這些塊后來被組合成下一個stager的代碼。

卡巴斯基首席安全研究員 Denis Legezo 表示：“被丟棄的wer.dll是一個加載器，如果沒有隱藏在Windows事件日志中的shellcode，它不會造成任何傷害”。