Netwalker勒索软件新变种利用反射式DLL加载技术逃避安全检测

2020年5月18日,美国网络安全企业趋势科技的安全研究团队发布报告称,监测发现了一款名为“Netwalker”的勒索软件可以利用反射式动态链接库(DLL)加载技术,通过PowerShell脚本,将恶意代码直接从内存注入Windows资源管理器进程,以无文件攻击的方式实现磁盘加密、索要赎金等恶意行为。 Netwalker勒索软件又名Mailto,于2019年8月被首次发现,攻击目标包括个人用户、企业和政府机构。此次捕获的Netwalker新型变种利用了一种称为反射式DLL加载的技术,从内存中直接加载DLL文件。这种技术比常规的DLL注入更隐蔽,因为不需要在磁盘上写入文件,也不需要使用任何Windows加载器来注入该文件,可以有效降低网络安全产品监测到恶意DLL文件加载行为的可能性。这给安全研究人员的溯源分析工作带来了极大困难。