'伟大的地狱公爵'DLL恶意软件攻击揭示了恶毒的Astaroth无文件恶意软件威胁
微軟最近放寬了一個非常面紗不愉快fileless惡意軟件的作品而不必成為受害者的機器上安裝竊取數據- 亞斯她錄 。
直接從神秘書籍"Ars Goetia"和"所羅門之鑰"中以同名惡魔命名,據說通過虛榮和懶惰誘惑他的受害者,這種惡意軟件自2017年以來一直在流通。它主要用於從南美和歐洲公司竊取有針對性攻擊的數據,這些攻擊使用魚叉式網絡釣魚作為入境點。
根據微軟後衛APT的研究員Andrea Lelli的說法,有一些東西可以讓這種特殊感染變得獨一無二,因為它具有根據某些傳統防病毒程序的檢測方法隱身滲透的能力。
根據Lelli的說法,Astaroth以個人憑證,鍵盤記錄等信息竊取而臭名昭著,這些數據隨後被洩露到遠程服務器。然後,攻擊者使用這些數據進行金融盜竊,將個人信息出售給其他犯罪分子,甚至跨網絡橫向移動。
目錄
Astaroth如何感染系統
攻擊通常在受害者打開電子郵件中的鏈接時開始,該電子郵件是在考慮使用魚叉式網絡釣魚的情況下發生的 - 這是攻擊者在其操作過程中使用的社交工程工具。這種騙局旨在打開鏈接,這會打開終端命令的快捷方式文件,最終下載並運行JavaScript代碼,從而使感染成為可能。該腳本下載並運行兩個DLL文件,用於處理所收集信息的記錄和上載,同時假裝是合法的系統進程。
該過程適用於基於簽名的檢測工具,因為只下載或安裝DLL文件。這使得它幾乎沒有機會在此過程中掃描並捕獲攻擊。自2017年末以來,這種方法使得Astaroth能夠在雷達下飛行並在網上茁壯成長,而不依賴於木馬下載或任何漏洞攻擊。
無文件惡意軟件檢測措施
根據Lelli的說法,傳統的以文件為中心的防病毒解決方案只有一次機會來檢測攻擊 - 在下載兩個DLL文件期間,因為攻擊中使用的可執行文件被認為是非惡意的。 Lelli補充說,DLL使用代碼混淆,它們在不同的活動之間有所不同,這意味著專注於檢測這兩個將是"惡性陷阱"。
Microsoft和其他供應商不得不依賴於啟發式檢測工具,例如那些密切關注WMIC命令行代碼使用的人,在任何DLL文件加載時應用規則。檢查文件的年齡,阻止新創建的DLL運行和類似的策略允許更新的安全工具趕上無文件惡意軟件。
'伟大的地狱公爵'DLL恶意软件攻击揭示了恶毒的Astaroth无文件恶意软件威胁 截图
