One Article Review
| Source |  Mandiant |
|---|---|
| Identifiant | 8377760 |
| Date de publication | 2017-11-28 19:00:00 (vue: 2023-09-01 14:42:16) |
| Titre | La variante Ursnif nouvellement observée utilise une technique de rappel TLS malveillante pour réaliser l'injection de processus Newly Observed Ursnif Variant Employs Malicious TLS Callback Technique to Achieve Process Injection |
| Texte | Introduction
Les rappels TLS (stockage local de thread) sont fournis par le système d'exploitation Windows pour prendre en charge l'initialisation et la terminaison supplémentaires pour les structures de données par thread.
Comme indiqué précédemment, les rappels TLS malveillants, en tant qu'astuce anti-analyse, ont été observés pendant un certain temps et peuvent permettre à des fichiers PE d'inclure des fonctions de rappel TLS malveillantesExécution prévue) dans l'en-tête PE.Essentiellement, les analystes sans méfiance et les outils de sécurité automatisés peuvent manquer le point d'entrée réel à Malcode s'ils
Introduction TLS (Thread Local Storage) callbacks are provided by the Windows operating system to support additional initialization and termination for per-thread data structures. As previously reported, malicious TLS callbacks, as an anti-analysis trick, have been observed for quite some time and can allow for PE files to include malicious TLS callback functions to be executed prior to the AddressOfEntryPoint field (the normal start of intended execution) in the PE header. In essence, unsuspecting analysts and automated security tools can miss the actual entry point to malcode if they |
| Notes | ★★★★ |
| Envoyé | Oui |
| Condensat | achieve actual additional addressofentrypoint allow analysis analysts anti are automated been callback callbacks can data employs entry essence executed execution field files functions have header include initialization injection intended introduction local malcode malicious miss newly normal observed operating per point previously prior process provided quite reported security some start storage structures support system technique termination thread time tls tools trick unsuspecting ursnif variant windows |
| Tags | Tool |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.