亚洲国家黑客利用一种新技术传播远程访问木马（RAT），而且不会被安全产品检测到。

安全企业SentinelOne表示，这些网络威胁组织所使用的方法能让攻击者将RAT有效负载注入内存并避免被杀毒软件检测到，即使是那些仅关注文件威胁的现代技术也不例外。

安全研究人员分析后发现一些文件已被写入磁盘，但恶意有效负载从来不会以不加密的方式触碰该磁盘。多个亚洲国家黑客组织使用了这种技术，虽然攻击似乎都发生在亚洲范围内，但也有可能这种技术已被传播到世界其他地方，用以攻击政府和企业。研究人员发现了名为NanoCore的RAT攻击，它允许攻击者对受害者进行监控。然而，专家表示该方法可用于传播任何类型的RAT。

恶意软件首次在系统中执行时，会在%APPDATA%文件夹中创建两个二进制并予以执行。负责解压并注入RAT的加密DLL被解密并被复制到内存中。这个DLL的设置以及NanoCore可执行文件本身是加密的并且以像素数据的方式存储在多个PNG图像文件中。

一旦所有元件被解密，NanoCore有效负载就会被注入利用多个Win32 API和系统调用的新进程中。无文件感染技术出现在多种类型的攻击中，包括利用工具包、勒索软件以及点击欺诈恶意软件攻击等。

E安全/文 转载请注明E安全

E安全——全球网络安全新传媒