金融网络犯罪组滥用Windows应用程序兼容性功能

当Microsoft为企业提供了快速解决其应用程序和新的Windows版本之间的不兼容时，它也意图能够帮助恶意软件作者。然而，此功能现在被网络犯罪分子滥用，用于隐秘和持久的恶意软件感染。

Windows应用程序兼容性基础架构允许公司和应用程序开发人员创建修补程序，称为Shims。这些包括坐在应用程序和操作系统之间的库，并重写API调用和其他属性，以便这些程序在较新版本的Windows上运行。

垫片是临时修复程序，即使Microsoft更改了Windows如何在引擎盖下的某些内容时，也可以使旧计划工作。它们可以通过组策略部署到计算机，并在目标应用程序启动时加载。

垫片在名为SDB的特殊数据库文件中描述，该文件在操作系统上注册并在执行时告诉Windows。安全研究人员在过去警告安全会议中，这种功能可以被滥用，以将恶意代码注入其他流程并实现持久性，并且似乎袭击者正在倾听。

来自Fireeye的安全研究人员最近看到了一群经济上有动力的网络犯罪分子使用的垫片技术，作为Fin7或Carbanak。自2015年以来，该集团在全球数百亿美元至10亿美元之间被盗。

FIN7最近将其目标突出，3月推出了一项矛网络钓鱼活动，这些活动有针对性的人员参与美国证券和交换委员会（SEC）在多个部门的组织中提交，包括金融服务，运输，零售，教育，IT服务和电子产品。

在近期由Fireeye检测到的近期Fin7攻击中，该组使用PowerShell脚本来为Services.exe进行RogerShell脚本注册一个合法的Windows进程。这确保了其恶意垫片代码在每个系统重新启动并将Carbanak后门注入到Windows服务主机（Svchost.exe）流程中。

Fireeye研究人员在博客文章中说，该组使用相同的技术来安装用于收集支付卡详细信息的支付卡详细信息。“这是Fin7之前的前往安装恶意Windows服务以进行流程注入和持久访问的方法。

在Fireeye看到的攻击中，使用该描述伪装为Windows更新的流氓垫片数据库：Microsoft KB2832077。此Microsoft知识库（KB）标识符不对应于任何合法的修补程序，因此在系统注册表中找到对其的引用或在安装的程序列表中可以是计算机由FIN7泄露的符号。

为了检测垫片攻击，Fireeye研究人员建议在默认的SHIM数据库目录中监视新文件，监视与南南部数据库注册和调用“Sdbinst.exe”实用程序的进程相关的注册表项的更改。