Sicherheitsforscher beobachten eine zunehmende Ausnutzung von regsvr32.exe, Das ist eine Windows-Binärdatei, die vom Land lebt, kurz bekannt als LOLBin. Einige der analysierten Malware-Samples gehören zu Qbot und Lokibot, laut Uptycs-Forschern.
Bedrohungsakteure, die Regsvr32 missbrauchen
Was ist regsvr32? Es ist ein von Microsoft signiertes Befehlszeilenprogramm, mit dem Benutzer DLL-Dateien registrieren und deren Registrierung aufheben können. Wenn Sie eine solche Datei registrieren, Informationen werden der Registrierung hinzugefügt (oder das zentrale Verzeichnis), damit die Datei vom Betriebssystem verwendet werden kann. So, andere Programme können problemlos DLLs verwenden.
Aber jetzt scheinen böswillige Akteure einen Weg entdeckt zu haben, regsvr32 zum Laden von COM-Skriptlets zum Ausführen von DLLs zu missbrauchen. „Diese Methode nimmt keine Änderungen an der Registrierung vor, da das COM-Objekt nicht tatsächlich registriert, sondern ausgeführt wird,“Sagten die Forscher. Die Technik ist auch als Squablydoo-Technik bekannt, Dies ermöglicht es Hackern, die Anwendungs-Whitelist während der Ausführungsphase der Angriffs-Kill-Chain zu umgehen.
Das Forschungsteam hat mehr als beobachtet 500 Beispiele mit regsvr32.exe zum Registrieren von .ocx-Dateien. Es ist bemerkenswert, dass „97 % dieser Proben zu bösartigen Microsoft Office-Dokumenten wie Excel-Tabellendateien mit den Erweiterungen .xlsb oder .xlsm gehörten“.
Weitere technische Details finden Sie in der ursprüngliche Bericht.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: