'伟大的地狱公爵'DLL恶意软件攻击揭示了恶毒的Astaroth无文件恶意软件威胁
微软最近放宽了一个非常面纱不愉快fileless恶意软件的作品而不必成为受害者的机器上安装窃取数据- 亚斯她录 。
直接从神秘书籍"Ars Goetia"和"所罗门之钥"中以同名恶魔命名,据说通过虚荣和懒惰诱惑他的受害者,这种恶意软件自2017年以来一直在流通。它主要用于从南美和欧洲公司窃取有针对性攻击的数据,这些攻击使用鱼叉式网络钓鱼作为入境点。
根据微软后卫APT的研究员Andrea Lelli的说法,有一些东西可以让这种特殊感染变得独一无二,因为它具有根据某些传统防病毒程序的检测方法隐身渗透的能力。
根据Lelli的说法,Astaroth以个人凭证,键盘记录等信息窃取而臭名昭着,这些数据随后被泄露到远程服务器。然后,攻击者使用这些数据进行金融盗窃,将个人信息出售给其他犯罪分子,甚至跨网络横向移动。
目录
Astaroth如何感染系统
攻击通常在受害者打开电子邮件中的链接时开始,该电子邮件是在考虑使用鱼叉式网络钓鱼的情况下发生的 - 这是攻击者在其操作过程中使用的社交工程工具。这种骗局旨在打开链接,这会打开终端命令的快捷方式文件,最终下载并运行JavaScript代码,从而使感染成为可能。该脚本下载并运行两个DLL文件,用于处理所收集信息的记录和上载,同时假装是合法的系统进程。
该过程适用于基于签名的检测工具,因为只下载或安装DLL文件。这使得它几乎没有机会在此过程中扫描并捕获攻击。自2017年末以来,这种方法使得Astaroth能够在雷达下飞行并在网上茁壮成长,而不依赖于木马下载或任何漏洞攻击。
无文件恶意软件检测措施
根据Lelli的说法,传统的以文件为中心的防病毒解决方案只有一次机会来检测攻击 - 在下载两个DLL文件期间,因为攻击中使用的可执行文件被认为是非恶意的。 Lelli补充说,DLL使用代码混淆,它们在不同的活动之间有所不同,这意味着专注于检测这两个将是"恶性陷阱"。
Microsoft和其他供应商不得不依赖于启发式检测工具,例如那些密切关注WMIC命令行代码使用的人,在任何DLL文件加载时应用规则。检查文件的年龄,阻止新创建的DLL运行和类似的策略允许更新的安全工具赶上无文件恶意软件。
'伟大的地狱公爵'DLL恶意软件攻击揭示了恶毒的Astaroth无文件恶意软件威胁 截图
