APT團夥是如何利用Windows熱修複的？

進階持續性威脅（apt）團夥platinum一直濫用windows的熱修複功能來攻擊南亞和東南亞的政府組織和機構。這個apt團夥利用這個功能（windows server 2003中推出）将惡意代碼注入到正在運作的程序中。那麼，這些熱修複攻擊的工作原理是什麼，我們應該如何應對？

nick lewis：進階持續性威脅（apt）團夥曆來喜歡利用零日漏洞和内置工具作為其攻擊手段。熱修複是windows 2003中推出的安全功能之一。windows defender進階威脅狩獵隊檢測到名為platinum的apt團夥正在利用這個功能，當熱修複不起作用時，他們似乎還可使用其他技術來注入惡意代碼。

windows熱修複是微軟為了減少伺服器需要重新啟動次數推出的功能。它的工作原理是通過已修複的代碼在記憶體運作可執行檔案，以便使用已更新的代碼，替代存在漏洞的代碼。熱修複功能目前存在于linux和unix以及windows中。它用于確定高可用性，當核心作業系統程序需要修複時，不需要重新啟動系統。由于作業系統會被修改，熱修複需要作為管理者執行這些操作，但攻擊團夥發現一種方法利用熱修複隐藏他們的攻擊。

企業可通過保護核心作業系統安全以及管理者通路權限來抵禦熱修複攻擊，例如platinum團夥的攻擊。windows 2012還沒有被報告包含不安全的熱修複功能，是以更新伺服器到新版本可能是不錯的選擇。當對伺服器的初步檢查沒有發現攻擊名額時，針對apt的标準網絡監控也可幫助發現受感染的伺服器，同時，還有必要部署分層防禦--包括監控網絡。

本文轉自d1net（轉載）