亞洲的國家黑客正使用一種新技術投放遠程控制木馬，回避安全產品的檢測。

終端安全公司SentinelOne發布消息稱，這些威脅小組使用的方法能夠將遠程控制木馬注入到受害設備的內存。反病毒軟件、甚至是更新型的技術，只要基于文件檢測，就無法發現此類威脅。

研究人員通過分析攻擊過程發現，硬盤上的確被寫入了一些新文件，但惡意載荷從未在未經加密的狀況下觸及硬盤。

約瑟夫·蘭德瑞 (Joseph Landry) 是SentinelOne公司的高級安全研究人員，他對媒體表示，亞洲多個國家的政府黑客正使用這一技術。盡管此類攻擊主要出現在亞洲范圍內，但也存在黑客使用該技術對付世界其它地方的政府及企業的可能性。

SentinelOne披露了一種使用已知遠程控制木馬NanoCore(也即Nancrat) 的攻擊，它讓攻擊者能夠監視受害者。然而，專家也同時指出，該技術能夠用于投放任意類型的木馬。

首次在系統上執行時，惡意軟件會在%APPDATA%文件夾下創建兩個二進制文件并運行。為了保持自身持續存在，軟件會創建一個注冊表鍵，指向兩個文件之一。

另有一個加密過的DLL被用于解包并將解密后的遠程控制木馬注入到內存。該DLL和NanoCore可執行文件本身的設置是通過多個PNG圖像文件的像素數據存儲的。

在全部組件解密之后，使用多種Win32 API和系統調用，可將NanoCore惡意載荷注入到新進程中。

SentinelOne公司的博客上詳細介紹了這種感染手段。

無文件感染技術已經在多種類型的攻擊中出現，這些攻擊中使用了漏洞利用包、勒索軟件和點擊欺詐惡意軟件。