Ransomware如何使用具有管理权限的vssadmin.exe

Question

我正在做一些关于洗劫工具及其方法的研究。在许多文章中，他们写到ransomware执行vssadmin.exe删除影子拷贝。我还发现了以下有关它们如何绕过需要管理员权限的问题的信息：

由于这个程序(vssadmin.exe)需要管理权限才能运行，一些ransomware会将自己注入到以管理员身份运行的进程中，以避免显示UAC提示符。

我的问题是，他们如何将自己注入到这些过程中？任何有关这方面的链接或信息都将是很棒的。

Answer 1

有许多过程注入技术，没有标准的方式使用在所有的赎金。

其中一些技术：

• 经典的Dll注入通过Createremote螺纹和Loadlibrary。
• 便携式可执行注射(Pe注射)工艺空心化(A.K.工艺更换和运行)
• 线程执行劫持(A.K.暂停、注入和恢复(Sir))
• 钩子注射
• 通过注册表修改的注入和持久性(例如. Appinit_Dlls、Appcertdlls、Ifeo)
• Apc注入与原子轰炸
• 通过Setwindowlong注入额外窗口内存(Ewmi)
• 使用Shims Iat挂钩和内联挂钩的注入(A.K.一个用户Rootkit)

下面的链接描述了上述所有技术。