แฮ็กเกอร์ใช้วิธีการซ่อนมัลแวร์ใน Windows Event Logs
นักวิจัยด้านความปลอดภัยได้ตรวจพบแคมเปญการโจมตีซึ่งใช้ Windows event logs เพื่อจัดเก็บมัลแวร์ ซึ่งเป็นเทคนิคที่ไม่เคยถูกใช้ในการโจมตีมาก่อน โดยวิธีการนี้ทำให้ผู้โจมตีสามารถวาง fileless มัลแวร์ บน file system ได้ ซึ่งวิธีการนี้จะประกอบไปด้วยเทคนิค และโมดูลที่ออกแบบมาเพื่อหลบเลี่ยงการตรวจจับเป็นจำนวนมาก
การเพิ่ม Payload ไปยัง Windows event logs
นักวิจัยจาก Kaspersky ได้รวบรวมตัวอย่างมัลแวร์ที่สามารถตรวจจับได้ และถูกระบุว่าเป็นภัยคุกคามบนคอมพิวเตอร์ของผู้ใช้งาน จากการตรวจสอบพบว่ามัลแวร์เป็นส่วนหนึ่งของแคมเปญ “very targeted” และมีการใช้ชุดเครื่องมือจำนวนมากที่เป็นทั้งแบบ Custom และที่มีจำหน่ายในเชิงพาณิชย์
โดยส่วนที่น่าสนใจของการโจมตีคือการ injecting shellcode payloads เข้าไปใน Windows event logs สำหรับ Key Management Services (KMS) ซึ่งเป็นการดำเนินการโดย custom malware dropper
Denis Legezo หัวหน้านักวิจัยด้านความปลอดภัยของ Kaspersky กล่าวว่าวิธีนี้ถูกใช้เป็นครั้งแรกในแคมเปญการโจมตีจากมัลแวร์
โดยตัว Dropper จะคัดลอกไฟล์จัดการ OS error ที่ชื่อไฟล์ว่า WerFault.