Astaroth Malware Moves in on Cloudflare Workers to Evade Detection

在最近的新聞中，一篇關於Astaroth傳播的報導，一個困擾用戶的無文件惡意軟件引起了互聯網安全界的注意。此威脅運行的系統工具使用複雜的附加鏈，該鏈不使用任何可執行文件來秘密執行其操作。

在公佈的報告之後，阿斯塔羅斯競選活動背後的團體決定改變他們的策略 。具體而言，他們所做的是繼續使用Cloudflare Workers通過試圖躲避檢測來繼續他們的活動。 該過程分幾個階段完成，如下所述。

第一階段

活動背後的演員通過使用經典的社會工程計劃開始他們的工作。他們所做的是發送一條消息，該消息看起來像組織針對計費或審計請求獲得的通常的自動電子郵件響應。還使用了一個HTML附件，它不會試圖隱藏它確實是一個HTML文件。現在這是一個使用HTML的簡單案例，因為它專門用於混淆和包含Javascript代碼。

它從一個簡單的Base64字符串到ArrayBuffer函數開始，然後是用於執行下一步攻擊的Base64編碼的URL。第三部分用於根據URL在瀏覽器內存中生成blob對象，並在瀏覽器會話中下載。文件的填充部分對該過程沒有貢獻。

通過使用Cloudflare，處理參與者正在添加一層安全性，其中自動分析工具或沙箱將接收挑戰頁面，而不是Astaroth的實際有效負載。 Cloudflare IP Geolocation將一個名為"CF-IPCountry"的標頭添加到從受感染機器到主機服務器的所有請求中。來自巴西IP的一位訪客能夠看到實際的第二步有效載荷。為了生成攻擊的第二步，解析URL的JSON，然後從Base64轉換為Array緩衝區，寫入瀏覽器的blob存儲，重命名以匹配HTML文件。完成後，將創建一個鏈接，並自動單擊以下載到受感染機器的瀏覽器。

第二階段

此步驟以zip文件開頭，該文件是根據URL中的數據創建的。與通常的下載zip文件的方法相比，創建方法有一些優點。威脅參與者可以為每個不同的目標創建不同的文件，並且可以通過單個航點服務它。網絡流量最終可能會阻止下載文件對象，但JSON是Web的自然組成部分，因此不會被阻止。某些安全供應商最終可能會識別網絡上的文件對象，並可能將其發送以進行分析。這最終會很快暴露出來。

Cloudflare Workers以這種方式命名，方法是從Web Workers中獲取名稱，API用於在Web瀏覽器後台運行的腳本以及攔截HTTP請求。 Cloudflare Workers允許用戶在Cloudflare的全球眾多數據中心中運行JavaScript。使用Worker可以讓人們進行許多不同的操作。

第三階段

腳本文件以名稱Lqncxmm：vbvvjjh.js保存到臨時目錄中，並使用Windows腳本宿主（Wscript）執行. 威脅行為者使用Cloudflare的這一功能，因為他們添加了一個簡單的隨機數生成器並隨機化了下載第三步有效負載的URL。在第三步中，有10個隨機和唯一的工作節點鏈接用於20,000到50,000之間的隨機數，每個鏈接使用兩次。一個鏈接可能有多達9億個組合。

使用URLhaus搜索Astaroth的樣本表明至少有一位分析師能夠獲取鏈接並提交它們進行分析。但是，每次運行腳本時，URL都不同。在運行32位Windows的系統上，將跳過Cloudflare鏈接，並且Astaroth使用具有靜態鏈接的私有Google存儲庫。

使用Astaroth的威脅演員似乎正在採取額外的距離，以盡量避免被發現 ，並使研究人員及其分析嘗試變得困難。他們使用Cloudflare表明他們正在尋找創新的方法來生成隨機有效負載URL並在他們的工作受到損害時重建他們的操作。