黑客濫用微軟Win10/Win11上錯誤報(bào)告工具，通過DLL旁加載技術(shù)運(yùn)

，黑客濫用微軟Win10/Win11系統(tǒng)內(nèi)置的錯誤報(bào)告工具Windows Problem Reporting，通過DLL側(cè)加載技術(shù)在被感染設(shè)備的內(nèi)存上運(yùn)行惡意軟件。

一開始黑客通過合法的Windows可執(zhí)行文件啟動惡意軟件，整個(gè)過程不會觸發(fā)任何警告，從而秘密感染設(shè)備Ksecurity Labs安全公司最先發(fā)現(xiàn)了這種攻擊方法

惡意軟件活動始于帶有ISO附件的電子郵件。雙擊ISO文件后，用戶將自己安裝為一個(gè)新的驅(qū)動器號，其中包含Windows WerFault.exe可執(zhí)行文件的合法副本，一個(gè)DLL文件，一個(gè)XLS文件和一個(gè)快捷方式文件(inventory amp我們的特色菜.

本站了解到，受害者通過點(diǎn)擊快捷方式文件啟動了感染鏈，該文件使用scriptrunner.exe來執(zhí)行WerFault.exeWer是Windows 10和11中使用的標(biāo)準(zhǔn)Windows錯誤報(bào)告工具，允許系統(tǒng)跟蹤和報(bào)告與操作系統(tǒng)或應(yīng)用程序相關(guān)的錯誤

殺毒工具通常會信任WerFault，因?yàn)樗俏④浐炇鸬暮戏╓indows可執(zhí)行文件，所以在系統(tǒng)上啟動它通常不會觸發(fā)警報(bào)來警告受害者。

WerFault.exe啟動后，惡意軟件會利用已知的dll側(cè)加載缺陷，加載ISO中包含的惡意fault rep . DLLDLL。

通常， ' faultlep.dll '文件是Microsoft在C:WindowsSystem32文件夾中要求的合法DLL，以便WerFault正確運(yùn)行但是，ISO中的惡意DLL版本包含啟動惡意軟件的附加代碼