Netwalker勒索软件新变种利用反射式DLL加载技术逃避安全检测

2020年5月18日，美国网络安全企业趋势科技的安全研究团队发布报告称，监测发现了一款名为“Netwalker”的勒索软件可以利用反射式动态链接库（DLL）加载技术，通过PowerShell脚本，将恶意代码直接从内存注入Windows资源管理器进程，以无文件攻击的方式实现磁盘加密、索要赎金等恶意行为。 Netwalker勒索软件又名Mailto，于2019年8月被首次发现，攻击目标包括个人用户、企业和政府机构。此次捕获的Netwalker新型变种利用了一种称为反射式DLL加载的技术，从内存中直接加载DLL文件。这种技术比常规的DLL注入更隐蔽，因为不需要在磁盘上写入文件，也不需要使用任何Windows加载器来注入该文件，可以有效降低网络安全产品监测到恶意DLL文件加载行为的可能性。这给安全研究人员的溯源分析工作带来了极大困难。