資安研究：程式碼注入不稀奇，「早鳥」程式碼注入興起 - 資安

※ [本文轉錄自 AntiVirus 看板 #1Qqqltlq ]

作者: Allen0315 (老艾) 看板: AntiVirus
標題: Fw: [新聞] 資安研究：程式碼注入不稀奇，「早鳥」程式碼注入興起
時間: Sun Apr 15 20:56:22 2018

※ [本文轉錄自 Gossiping 看板 #1QqqkZTd ]

作者: saiulbb (Becky♪＃是我的拉!) 看板: Gossiping
標題: [新聞] 資安研究：程式碼注入不稀奇，「早鳥」程式碼注入興起
時間: Sun Apr 15 20:54:56 2018

1.媒體來源:
※ 例如蘋果日報、奇摩新聞
ithome

2.完整新聞標題:
※ 標題沒有寫出來 ---> 依照板規刪除文章
資安研究：程式碼注入不稀奇，「早鳥」程式碼注入興起

Early Bird手法卻是於執行緒初始化非常早期的階段，在許多防毒軟體還沒部署Hook前就
載入惡意程式碼，而能在不被偵測到的狀態下展開惡意行動

3.完整新聞內文:
※ 社論特稿都不能貼! 違者刪除(政治類水桶3個月)，貼廣告也會被刪除喔!
文/陳曉莉 | 2018-04-14發表

有不少惡意程式都會利用程式碼注入（Code Injection）技術把惡意程式嵌入合法的程序
中以躲避偵測，同時資安業者也發展出相對應的Hook機制來找出它們，不過，資安業者
Cyberbit本周揭露了一款新的程式碼注入方式，它能在Hook機制運作前就載入惡意程式，
因而被命名為「早鳥」（Early Bird）程式碼注入技術。

惡意程式的程式碼注入流程是先設立一個偽造的合法程序，把惡意程式與異步過程調用（
APC）置入該程序，之後重新開始程序的主要執行緒以執行APC。另一方面，防毒軟體則為
此設計了Hook功能，可監控API的呼叫以辨識惡意活動。

然而，Early Bird手法卻是於執行緒初始化非常早期的階段，在許多防毒軟體還沒部署
Hook前就載入惡意程式碼，而能在不被偵測到的狀態下展開惡意行動。

Cyberbit表示，目前已發現多款採用早鳥程式注入手法的惡意程式，包括伊朗駭客集團
APT33所撰寫的TurnedUp後門程式，以及可用來執行阻斷服務攻擊或竊取密碼的通用惡意
程式DorkBot。其中，去年9月才曝光的TurnedUp能夠竊取資料、建立反向Shell、拍攝螢
幕畫面及收集系統訊息等。

4.完整新聞連結 (或短網址):
※ 當新聞連結過長時，需提供短網址方便網友點擊
https://www.ithome.com.tw/news/122420

5. 備註：
※ 一個人一天只能張貼一則新聞，被刪或自刪也算額度內，超貼者水桶，請注意
早鳥(Early Bird)程式碼注入：在Hook機制運作前就載入惡意程式。

--