当微软使人们有可能为企业的应用和新的Windows版本之间快速解决不兼容,它不打算帮助恶意软件作者为好。然而,这个功能现在被网络罪犯用于隐蔽和持久的恶意软件感染滥用。
Windows应用程序兼容性基础架构允许企业和应用开发商创建的音色,被称为垫片。这些包括应用程序和操作系统,并改写API调用和其他属性,使这些程序可以在Windows的新版本以及运行之间坐库。
垫片是暂时的修复,可以使较旧的程序工作,即使微软的Windows改变如何做引擎盖下的某些事情。他们可以通过组策略部署到计算机并在目标应用开始被加载。
垫片中被称为是那些获得注册的操作系统上,并告诉Windows时,他们应该执行的SDB专用数据库文件进行说明。安全研究人员已经在安全会议在过去,此功能可以被滥用来将恶意代码注入到其他进程,实现持续警告,看来袭击者听。
从FireEye的安全研究人员最近看到一组在安全行业FIN7或Carbanak称为经济动机的网络犯罪分子使用的垫片技术。2015年以来,该集团已与5亿$,并从世界各地的数百家金融机构$ 1十亿被盗。
FIN7 has recently diversified its targets and in March launched a spear-phishing campaign that targeted personnel involved with U.S. Securities and Exchange Commission (SEC) filings at organizations from multiple sectors, including financial services, transportation, retail, education, IT services, and electronics.
在通过FireEye的检测更加最近FIN7攻击,该集团使用PowerShell脚本来注册Services.exe的流氓填充数据库,合法的Windows进程。这确保了开始对每一个系统重新启动其恶意代码垫片和注射Carbanak后门进入Windows服务主机(Svchost.exe的)的过程。
该小组使用相同的技术,从破坏系统上安装了收获的支付卡细节的工具,在FireEye的研究人员在说博客文章。“这是从FIN7以前安装的过程中注入和持久访问恶意的Windows服务的方式出发。”
在通过FireEye的看到了攻击,流氓填充数据库伪装成利用上述描述Windows更新:微软KB2832077。此Microsoft知识库(KB)标识不符合任何合法的补丁,在系统注册表中或在已安装程序的列表,以便找到对它的引用可以是计算机被FIN7入侵。
为了检测垫片攻击,FireEye的研究人员建议监控默认填充数据库目录的新文件,监视与填充数据库登记在注册表项的改变和监控该呼叫的“sdbinst.exe”实用程序。