FIN7新手段被曝光，win合法进程被滥用

几个月前，一种在合法Microsoft Windows进程中运行的恶意有效负载的攻击被发现。攻击者滥用了DLL搜索顺序来加载自己的恶意DLL。该环境中的某些示例与FireEye最近发布的关于FIN7的新工具和技术（特别是BOOSTWRITE）中描述的示例相匹配。将其余样本与BOOSTWRITE进行比较，发现它们具有通用的代码库，并带有Carbanak后门。 Windows操作系统使用一种通用方法来查找要加载到程序中的所需DLL。攻击者可能使用此行为来导致程序加载恶意DLL，该技术被称为DLL搜索顺序劫持（或二进制植入）。 滥用的应用程序是FaceFodUninstaller.exe。它从Windows 10 RS4（1803）开始在全新OS安装中的“％WINDR％\ System32 \ WinBioPlugIns”文件夹中。该可执行文件依赖于winbio.dll，该文件通常在父目录（“％WINDR％\ System3 ………………………………