新型无文件恶意程序，通过 Windows 事件日志隐藏shellcode

在最近的网络安全研究中发现，一个利用Windows事件日志来隐藏大量shellcode的新型的恶意程序被曝光，可以以“无文件”的形式将最终的木马攻击载荷隐藏在文件系统中。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，该恶意程序最早在2021年9月开始传播，通过引诱目标下载包含 Cobalt Strike 和 Silent Break 的RAR压缩文件来进行传播，然后将对手模拟软件模块用作启动板，将代码注入 Windows 系统进程或受信任的应用程序。

值得注意的是，该恶意程序使用了反检测壳作为工具集的一部分，这表明攻击者试图在反病毒机制下不被检测到。

其中一个关键方法是将包含下一阶段恶意软件的加密 shellcode 作为 8KB 片段保存在Windows事件日志中，然后将其组合并执行，这是现实世界攻击中从未见过的骚操作。

最终的有效载荷是一组木马，它们采用2种不同的通信机制，使用 RC4 加密的 HTTP 和使用命名管道的未加密通信，允许它运行任意命令、从 URL 下载文件、提升权限和截取屏幕截图。

攻击者规避策略的另一个指标是使用从初始侦察中收集的信息来开发攻击链的后续阶段，包括使用模仿受害者使用的合法软件的远程服务器。