在亚洲活动的一个网络间谍小组正使用被称为“热补丁”(Hotpatching)的Windows即时更新特性,使恶意软件更难被安全产品发现。
来自微软的恶意软件研究人员将这一小组称为Platinum,它自2009年开始活动,其目标主要是南亚和东南亚国家的政府机构、国防组织、情报单位和通讯运营商。马来西亚、印度尼西亚和中国受害最为严重。
目前为止,该小组的主要攻击方式是鱼叉式钓鱼:针对特定组织或个人,定制化伪造电子邮件。此手段通常会与能够帮助黑客安装定制化恶意软件的零日漏洞结合使用。该小组还特别注重保持隐匿。
微软Windows Defender高级威胁捕捉小组在发布的一份报告中称,为了达到这一目标,它每年只会发动少量的攻击。它的定制恶意软件组件拥有自我删除功能,以实现只在受害人的工作时间启动,将自身的活动信息深藏在用户日常网络流量之中。
微软研究人员并未直接指出该组织属于国家黑客小组,但他们表示“该小组显示出的迹象表明其资金充足、组织严密,攻击中针对的基本是政府才会使用的一些数据。”
该小组使用的技术之一是热补丁,是Windows Server 2003版本中首次引入的一种隐藏功能,可以动态更新系统的组件,而不需要重启。
即时更新功能在Windows 8及后续版本中遭到移除,因为它并不常用。在Windows Server 2003长达12年的支持期限中,只有10次更新用到了该项技术。
亚历克斯•约内斯库 (Alex Ionescu) 最初在2013年的SyScan安全大会上披露了即时更新功能被黑客用于向运行进程注入恶意代码的可能性。Platinum小组使用的正是他介绍的技术。
这是微软安全研究人员第一次在真实世界中发现黑客使用该项技术。
微软研究人员在发布的一篇博客中写道:“在恶意软件中使用即时更新技术能够避免遭到检测,因为许多反恶意软件方案仅会监视非系统进程,寻找CreateRemoteThread等常见的注入技术。这意味着Platinum小组能够通过滥用这项技术,保持其后门不被许多主机安全产品检测到。”