记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

逃避手段再开花——从一个能逃避AppLocker和AMSI检测的Office文档讲起

介绍几天前,Cybaze-Yoroi ZLAB团队遇到了一个十分“异类”的Office文档,它当中包含的一些特性引起了研究人员的兴趣。文档中携带的payload能绕过Microsoft现今一些高级别的安全机制,如AppLocker(应用程序控制策略),或是较新版本的防恶意软件扫描接口AMSI——这是一个与供应商无关的安全接口,可以对运行的脚本、宏代码甚至内存块进行反病毒控制,旨在解决混淆和无文件威胁。因此,Cybaze-Yoroi ZLAB决定对检测样本进行更进一步的分析。技术分析表1.样本信息初始文档界面如下图所示,表面上是提示用户启用宏以显示文档的实际内容,实际上感染链已在后台悄悄启动。图1.初始文档界面几秒钟后,
发布时间:2019-03-22 12:20 | 阅读:564176 | 评论:0 | 标签:系统安全 AMSI AppLocker

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云