“新的Windows恶意软件隐藏在Plain Sight中”

这些日子似乎都需要企业品牌。 这样，可以很容易地引用本来就不太容易识别的东西。 因此，多个安全研究人员开始为发现命名，但也可能会带来一些混乱。 这是本周早些时候微软defender高级威胁防范研究小组和cisco talos给同一个恶意软件取了两个不同的名字。

微软将其命名为nodersok。 思科talos将其命名为pergent。 无论名字如何，新恶意软件都采用陆地移动技术，这些技术将合法工具重新用于恶意目的。 这些重用的工具被称为陆地移动二进制文件或简单称为lolbins，被称为无文件恶意软件的软件可以避免大多数windows安全产品使用的检测功能。

微软对nodersok感染方法的评价如下。

就像astaroth战役一样，感染链的每一步只能执行合法的lolbins，从计算机本身( mshta.exe，powershell.exe )或从第三方下载的lolbins ) node .。 可以从winpert.dll / sys )执行的关联功能位于脚本和shellcode中，这些脚本和shellcode几乎总是加密、解密和只在内存中执行。 不会将恶意的可执行文件写入磁盘。

对于这些恶意软件，将安装node.exe和winpert作为其lolbins。 这些是合法的应用程序。 正如微软所说，前者是无数web应用程序采用的常见node.js框架的windows实现，后者是强大的互联网数据包捕获和解决实用程序。 两者一般都是无害的，但nodersok的作者可以建立无文件恶意软件。

微软表示，7月中旬看到nodersok的第一个指标，同时在最近几周里缠绕了千万台机器，大部分目标都在美国和欧洲。 受影响的系统大部分是支出类设备。 思科talos相信，恶意软件目前正在积极开发。 这是因为，我们注意到多个版本的加载器被用于安装两个名称的恶意软件。

恶意软件的名字并不是微软和思科talos唯一同意的事件。 他们同意nodersok / pergent通过恶意广告发布，然后下载到可以安装所需lolbins的系统上，但恶意软件的用途不同。 微软认为这是为了转播恶意流量。 思科Talos声称恶意软件运营商想将其用于点击诈骗。 在企业的公开中可以发现越来越多的新闻。

本文：《“新的Windows恶意软件隐藏在Plain Sight中”》