Lazarus 组织开始在攻击中应用反取证科技

大约一年后，在韩国国防、卫星、软件和媒体出版等多个行业的公司中都发现了 Lazarus 组织的身影。本文旨在通过 Lazarus 组织入侵的组织，总结该犯罪团伙所使用的反取证技术。

Lazarus 组织在加载程序、可执行文件与配置文件中都应用了加密操作：

加载程序：解密加密的 PE 文件并加载到内存中

可执行文件：由加载程序加载后解密配置文件与 C&C 服务器通信

配置文件：存储加密的 C&C 服务器信息

Lazarus 组织经常使用系统文件夹作为藏身之处，也会模仿普通文件的名称来进行隐藏。攻击者通过在系统中创建类似的文件夹，或将大部分的恶意软件自动地伪装成数据库的默认文件的隐藏的系统文件中的一些普通操作系统文件。常用的目录如下：

C:\ProgramData\

C:\ProgramData\Microsoft\

C:\Windows\System32\

C:\ProgramData 文件夹是默认隐藏的系统文件夹。在此文件夹内创建一个名称与默认文件夹相似的文件夹作为恶意软件隐藏位置，或者将恶意软件伪装成默认文件夹内的类似文件。

数据清除是指永久删除特定文件或整个文件系统。在删除文件外，还可以抹去所有使用痕迹。在windows操作系统中，数据清除功能通常用于删除不需要的文件。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!