当微软让企业能够快速解决他们的应用程序和新Windows版本之间的不兼容时,它并不想帮助恶意软件作者。然而,这一功能现在被网络犯罪分子滥用,用于暗中和持续的恶意软件感染。
Windows应用程序兼容性基础设施允许公司和应用程序开发人员创建补丁,即shims。这些库位于应用程序和操作系统之间,重写API调用和其他属性,以便这些程序可以在较新版本的Windows上很好地运行。
垫片是一种临时修复,即使微软改变了Windows操作系统的某些操作方式,也能让旧程序正常工作。它们可以通过组策略部署到计算机上,并在目标应用程序启动时加载。
Shims在称为sdb的特殊数据库文件中进行描述,sdb在操作系统上注册,并告诉Windows何时执行它们。安全研究人员过去曾在安全会议上警告说,这种功能可能会被滥用,从而将恶意代码注入其他进程并实现持久性,而且攻击者似乎也在监听。
FireEye的安全研究人员最近发现,一群有经济动机的网络犯罪分子使用了垫片技术,在安全行业被称为FIN7或Carbanak。自2015年以来,该组织从全球数百家金融机构窃取了5亿至10亿美元的资金。
FIN7最近对其目标进行了多样化,并在3月份发起了一项鱼叉式网络钓鱼活动,目标是涉及美国证券交易委员会(SEC)文件的人员,这些人员来自多个部门,包括金融服务、交通、零售、教育、IT服务和电子产品。
在FireEye最近检测到的一次FIN7攻击中,该组织使用PowerShell脚本为服务注册了一个流氓shim数据库。一个合法的Windows进程。这确保了恶意shim代码在每次系统重新启动时启动,并将Carbanak后门注入Windows服务主机(svchost.exe)进程。
该小组使用相同的技术,从破坏系统上安装了收获的支付卡细节的工具,在FireEye的研究人员在说博客文章。“这与FIN7之前为进程注入和持久访问安装恶意Windows服务的方法不同。”
在FireEye看到的攻击中,rogue shim数据库伪装成Windows更新,使用的描述是:Microsoft KB2832077。这个Microsoft知识库(KB)标识符与任何合法的补丁都不对应,因此在系统注册表或已安装程序列表中找到对它的引用可能是计算机被FIN7入侵的标志。
为了检测shim攻击,FireEye的研究人员建议监视默认shim数据库目录中的新文件,监视与shim数据库注册相关的注册表项的更改,并监视称为“sdbinst”的进程。exe”效用。