'伟大的地狱公爵'DLL恶意软件攻击揭示了恶毒的Astaroth无文件恶意软件威胁

伟大的地狱公爵无人防守的恶意软件攻击微软最近放宽了一个非常面纱不愉快fileless恶意软件的作品而不必成为受害者的机器上安装窃取数据- 亚斯她录

直接从神秘书籍“Ars Goetia”和“所罗门之钥”中以同名恶魔命名,据说通过虚荣和懒惰诱惑他的受害者,这种恶意软件自2017年以来一直在流通。它主要用于从南美和欧洲公司窃取有针对性攻击的数据,这些攻击使用鱼叉式网络钓鱼作为入境点。

根据微软后卫APT的研究员Andrea Lelli的说法,有一些东西可以让这种特殊感染变得独一无二,因为它具有根据某些传统防病毒程序的检测方法隐身渗透的能力。

根据Lelli的说法,Astaroth以个人凭证,键盘记录等信息窃取而臭名昭着,这些数据随后被泄露到远程服务器。然后,攻击者使用这些数据进行金融盗窃,将个人信息出售给其他犯罪分子,甚至跨网络横向移动。

Astaroth如何感染系统

攻击通常在受害者打开电子邮件中的链接时开始,该电子邮件是在考虑使用鱼叉式网络钓鱼的情况下发生的 - 这是攻击者在其操作过程中使用的社交工程工具。这种骗局旨在打开链接,这会打开终端命令的快捷方式文件,最终下载并运行JavaScript代码,从而使感染成为可能。该脚本下载并运行两个DLL文件,用于处理所收集信息的记录和上载,同时假装是合法的系统进程。

该过程适用于基于签名的检测工具,因为只下载或安装DLL文件。这使得它几乎没有机会在此过程中扫描并捕获攻击。自2017年末以来,这种方法使得Astaroth能够在雷达下飞行并在网上茁壮成长,而不依赖于木马下载或任何漏洞攻击。

无文件恶意软件检测措施

根据Lelli的说法,传统的以文件为中心的防病毒解决方案只有一次机会来检测攻击 - 在下载两个DLL文件期间,因为攻击中使用的可执行文件被认为是非恶意的。 Lelli补充说,DLL使用代码混淆,它们在不同的活动之间有所不同,这意味着专注于检测这两个将是“恶性陷阱”。

Microsoft和其他供应商不得不依赖于启发式检测工具,例如那些密切关注WMIC命令行代码使用的人,在任何DLL文件加载时应用规则。检查文件的年龄,阻止新创建的DLL运行和类似的策略允许更新的安全工具赶上无文件恶意软件。

屏幕截图&其他影像

'伟大的地狱公爵'DLL恶意软件攻击揭示了恶毒的Astaroth无文件恶意软件威胁 Image 1

发表评论

请不要将此评论系统用于支持或结算问题。 若要获取SpyHunter技术支持,请通过SpyHunter打开技术支持问题直接联系我们的技术团队。 有关结算问题,请参考“结算问题?”页面。 有关一般查询(投诉,法律,媒体,营销,版权),请访问我们的"查询和反馈"页面。

'Great Duke Of Hell' DLL Malware Attack Uncovers Vicious Astaroth Fileless Malware Threat

伟大的地狱公爵无人防守的恶意软件攻击微软最近放宽了一个非常面纱不愉快fileless恶意软件的作品而不必成为受害者的机器上安装窃取数据- 亚斯她录

直接从神秘书籍“Ars Goetia”和“所罗门之钥”中以同名恶魔命名,据说通过虚荣和懒惰诱惑他的受害者,这种恶意软件自2017年以来一直在流通。它主要用于从南美和欧洲公司窃取有针对性攻击的数据,这些攻击使用鱼叉式网络钓鱼作为入境点。

根据微软后卫APT的研究员Andrea Lelli的说法,有一些东西可以让这种特殊的感染变得独一无二,因为它有能力根据一些传统的反病毒程序的检测方法隐秘地渗透。

根据Lelli的说法,Astaroth以个人凭证,键盘记录等信息窃取而臭名昭着,这些数据随后被泄露到远程服务器。然后,攻击者使用这些数据进行金融盗窃,将个人信息出售给其他犯罪分子,甚至跨网络横向移动。

Astaroth如何感染系统

攻击通常在受害者打开电子邮件中的链接时开始,该电子邮件是在考虑使用鱼叉式网络钓鱼的情况下发生的 - 这是攻击者在其操作过程中使用的社交工程工具。这种骗局旨在打开链接,这会打开终端命令的快捷方式文件,最终下载并运行JavaScript代码,从而使感染成为可能。该脚本下载并运行两个DLL文件,用于处理所收集信息的记录和上载,同时假装是合法的系统进程。

该过程适用于基于签名的检测工具,因为只下载或安装DLL文件。这使得它几乎没有机会在此过程中扫描并捕获攻击。自2017年末以来,这种方法使得Astaroth能够在雷达下飞行并在网上茁壮成长,而不依赖于木马下载或任何漏洞攻击。

无文件恶意软件检测措施

根据Lelli的说法,传统的以文件为中心的防病毒解决方案只有一次机会来检测攻击 - 在下载两个DLL文件期间,因为攻击中使用的可执行文件被认为是非恶意的。 Lelli补充说,DLL使用代码混淆,它们在不同的活动之间有所不同,这意味着专注于检测这两个将是“恶性陷阱”。

Microsoft和其他供应商不得不依赖于启发式检测工具,例如那些密切关注WMIC命令行代码使用的人,在任何DLL文件加载时应用规则。检查文件的年龄,阻止新创建的DLL运行和类似的策略允许更新的安全工具赶上无文件恶意软件。

发表评论

请不要将此评论系统用于支持或结算问题。 若要获取SpyHunter技术支持,请通过SpyHunter打开技术支持问题直接联系我们的技术团队。 有关结算问题,请参考“结算问题?”页面。 有关一般查询(投诉,法律,媒体,营销,版权),请访问我们的"查询和反馈"页面。