Журнал событий Windows и средство просмотра событий помогают пользователям обнаруживать проблемы безопасности и другие неисправности в работе компьютеров. Специалисты из «Лаборатории Касперского» зафиксировали хакера, который применял журнал событий совсем не для того, для чего его создавали.

На прошлой неделе «Лаборатория Касперского» опубликовала анализ начавшейся прошлой осенью сложной атаки. Она задействует сочетание различных методов и программ, но в глаза бросается использование журналов событий Windows.

На одном этапе хакерской кампании злоумышленник вставил шелл-код в журнал событий Windows компьютера-цели. Этот метод хранения вредоносных программ является незаметным по той причине, что не оставляет файлов для обнаружения антивирусом.

Вредоносная кампания включала в себя большой набор коммерческого и собственного программного обеспечения. Использовались взлом DLL, троян, оболочки с защитой от обнаружения, имитация веб-домена и многое другое. Злоумышленник подписал некоторые свои программы ради большей достоверности.

Масштаб и изобретательность атаки намекают, что она была целенаправленной. На первом этапе в сентябре жертву убедили скачать и запустить архив RAR с файлообменника file.io. В «Лаборатории Касперского» не знают, кто и против кого проводил эту атаку, пишет Techspot.