十年后,恶意软件作者仍在滥用“天堂之门”技术时间:2019.07.03 来源:ZDNet

在黑客电子杂志(在线杂志)首次详细介绍十多年后,即使在今天恶意软件仍然成功地使用“天堂之门”技术来避免防病毒检测。

近日,思科的网络安全部门Talos 发布了一份报告,详细介绍了最近的天堂之门。

Talos研究人员表示,他们已经发现至少三个恶意软件分发活动,其中感染用户系统的恶意软件使用Heaven's Gate技术运行恶意代码而不会触发防病毒检测。

这三个活动分发了HawkEye Reborn键盘记录器,Remcos远程访问木马(RAT)和各种加密货币采矿木马。

这三个活动中的共同点是恶意软件加载器 - 一种首先感染系统的恶意软件,只是为了在以后下载更危险和更高级的恶意软件。Talos表示,这个新的恶意软件加载程序正在滥用Heaven's Gate技术来绕过防病毒引擎并下载并安装三个更有效的恶意软件。

什么是天堂门技术?

此恶意软件加载程序使用的技术并不新鲜。它首先在2000年代中期由29A病毒编码组管理的网站上详述。天堂之门的教程由一位匿名黑客编写,上传为29A集团成员Roy G. Biv。在该集团解散并且他们的电子杂志网站倒闭后,天堂门技术后来在2009年版的Valhalla黑客电子杂志中重印。

实际技术是Windows 64位系统上的一个误导。Biv发现,在64位系统上运行的32位应用程序可能会欺骗操作系统执行64位代码,尽管最初声称自己是32位进程。

当时,防病毒软件和操作系统安全功能都无法检测从运行32位兼容代码到64位代码的32位进程跳转。

虽然最初这种技术有所进步,但多年来它逐渐进入大量商用恶意软件中。到2010年初,它主要被大量的rootkit滥用,但后来传播到Phenom木马,Pony信息输出器,Vawtrack(NeverQuest),Scylex,Nymaim,Ursnif(Gozi)和TrickBot银行木马。

该技术在现代恶意软件中的普及和使用有所消退,主要是在微软推出了Windows 10中名为Control Flow Guard的安全功能之后,该功能有效地阻止了从WOW64 32位执行到本机64位代码执行空间的代码跳转。

然而,一些恶意软件作者仍在使用该技术,主要是针对遗留系统。在Talos本周报告之前,Malwarebytes去年在2018年发现了这种技术被加密货币矿工滥用。

任何使用Heaven's Gate技术的恶意软件都会在老系统上有效地发挥作用,这再一次表明使用现代操作系统的原因总是一个好主意。