近日，安天 CERT（安全研究與應(yīng)急 處理中心）發(fā)現(xiàn)一例使用了名為“天堂之 門”（Heaven's Gate）技術(shù)的挖礦木馬。 該技術(shù)可使 32 位的載荷注入到 64 位進(jìn)程 中，雖然該技術(shù)在 2009 年就已出現(xiàn)，但在 目前新出現(xiàn)的挖礦樣本中仍極為少見。

     在 64 位系統(tǒng)上運(yùn)行該樣本，其會(huì)運(yùn)行 一個(gè)記事本實(shí)例，帶有挖礦的典型參數(shù)。 在 ProcessExplorer 中查看內(nèi)存中的字符串， 可以清楚地看到它并不是一個(gè)真正的記事 本進(jìn)程，而是挖取門羅幣的惡意代碼。釋 放截荷的 Dropper 是 32 位，但它將有效載 荷注入了 64 位的記事本中。微軟官方的 API 并不支持這種注入，只允許從 64 位應(yīng) 用程序讀取或?qū)懭?32 位進(jìn)程程序，但不能反過來。

     “天堂之門”技術(shù)在 2009 年首次被 一位綽號(hào)為 Roy G. Biv 的黑客所提出。在 2015 年的博客文章中，Alex Ionescu 描述 了這種技術(shù)的緩解措施。在 64 位版本的 Windows 上運(yùn)行的每個(gè) 32 位進(jìn)程都在被 稱為 WoW64 的特殊子系統(tǒng)中運(yùn)行，該子 系統(tǒng)模擬 32 位環(huán)境。我們可以將其解釋為 在 64 位進(jìn)程內(nèi)創(chuàng)建的 32 位沙箱。因此， 首先創(chuàng)建該進(jìn)程的 64 位環(huán)境。然后，在它 內(nèi)部創(chuàng)建 32 位環(huán)境。該應(yīng)用程序在此 32 位環(huán)境中執(zhí)行，并且無法訪問 64 位部分。 32 位進(jìn)程本身無法看到 64 位部分，并且 僅限于使用 32 位 DLL。為了向 64 位進(jìn)程 注入數(shù)據(jù)，需要使用適當(dāng)函數(shù)的 64 位版本。32 位和 64 位代碼執(zhí)行可通過代碼段 的不同地址訪問：32 位為 0x23，64 位為 0x33，于是可以使用匯編指令進(jìn)行更改， 這就是“天堂之門”的技術(shù)原理。

     安天 CERT 提醒廣大網(wǎng)絡(luò)使用者，要 提高網(wǎng)絡(luò)安全意識(shí)，在日常工作中及時(shí)進(jìn) 行系統(tǒng)更新和漏洞修復(fù)，不要隨意下載非 正版的應(yīng)用軟件、非官方游戲、注冊(cè)機(jī)等。 收發(fā)郵件時(shí)要確認(rèn)收發(fā)來源是否可靠，更 加不要隨意點(diǎn)擊或者復(fù)制郵件中的網(wǎng)址， 不要輕易下載來源不明的附件，發(fā)現(xiàn)網(wǎng)絡(luò) 異常要提高警惕并及時(shí)采取應(yīng)對(duì)措施，養(yǎng) 成及時(shí)更新操作系統(tǒng)和軟件應(yīng)用的好習(xí) 慣。目前，安天追影產(chǎn)品已經(jīng)實(shí)現(xiàn)了對(duì)該 類惡意代碼的檢出。