黑客被发现使用一种新的代码注入技术来逃避检测

早起的鸟儿，被至少三种不同的复杂恶意软件使用，帮助攻击者逃避检测。

顾名思义，Early Bird是一种“简单但功能强大”的技术，它允许攻击者在主线程启动之前将恶意代码注入合法进程，从而避免大多数反恶意软件产品使用的Windows钩子引擎检测。
研究人员说，早鸟代码注入技术“在线程初始化的非常早期阶段加载恶意代码，然后许多安全产品放置它们的钩子，这允许恶意软件在不被检测的情况下执行其恶意行为”。

该技术类似于AtomBombing代码注入技术，它不依赖易于检测的API调用，允许恶意软件以任何反恶意软件工具都无法检测到的方式将代码注入进程。

早期代码注入的工作原理

Early Bird代码注入方法依赖于Windows内置的APC（异步过程调用）函数，该函数允许应用程序在特定线程的上下文中异步执行代码。

以下是一个简单的分步说明，说明攻击者如何以在反恶意软件程序开始扫描之前执行的方式将恶意代码注入合法进程。

• 创建合法Windows进程的挂起进程（例如svchost.exe）
• 在该进程中分配内存（svchost.exe），并将恶意代码写入分配的内存区域，
• 将异步过程调用（APC）排入该进程主线程（svchost.exe）的队列，
• 由于APC只能在进程处于可警报状态时执行该进程，因此在主线程恢复时，调用NtTestAlert函数强制内核执行恶意代码。

据研究人员称，至少有三个以下提到的恶意软件是在野外使用早期鸟类代码注入发现的。

• “TurnedUp”后门，由伊朗黑客组织（APT33）开发
• “Carberp”银行恶意软件的变种
• “DorkBot”恶意软件

TurnedUp最初由FireEye于2017年9月发现，它是一个后门，能够从目标系统中过滤数据、创建反向外壳、截图以及收集系统信息。
DorBot可以追溯到2012年，它是通过社交媒体、即时消息应用程序或受感染的可移动媒体上的链接分发的僵尸网络恶意软件，用于窃取包括银行服务在内的在线服务的用户凭据，参与分布式拒绝服务（DDoS）攻击，发送垃圾邮件，并将其他恶意软件发送到受害者的计算机。

研究人员还提供了一个视频演示，展示了新的早期鸟类代码注入技术的实际应用。