'伟大的地狱公爵'DLL恶意软件攻击揭示了恶毒的Astaroth无文件恶意软件威胁

偉大的地獄公爵無人防守的惡意軟件攻擊微軟最近放寬了一個非常面紗不愉快fileless惡意軟件的作品而不必成為受害者的機器上安裝竊取數據- 亞斯她錄

直接從神秘書籍“Ars Goetia”和“所羅門之鑰”中以同名惡魔命名,據說通過虛榮和懶惰誘惑他的受害者,這種惡意軟件自2017年以來一直在流通。它主要用於從南美和歐洲公司竊取有針對性攻擊的數據,這些攻擊使用魚叉式網絡釣魚作為入境點。

根據微軟後衛APT的研究員Andrea Lelli的說法,有一些東西可以讓這種特殊感染變得獨一無二,因為它具有根據某些傳統防病毒程序的檢測方法隱身滲透的能力。

根據Lelli的說法,Astaroth以個人憑證,鍵盤記錄等信息竊取而臭名昭著,這些數據隨後被洩露到遠程服務器。然後,攻擊者使用這些數據進行金融盜竊,將個人信息出售給其他犯罪分子,甚至跨網絡橫向移動。

Astaroth如何感染系統

攻擊通常在受害者打開電子郵件中的鏈接時開始,該電子郵件是在考慮使用魚叉式網絡釣魚的情況下發生的 - 這是攻擊者在其操作過程中使用的社交工程工具。這種騙局旨在打開鏈接,這會打開終端命令的快捷方式文件,最終下載並運行JavaScript代碼,從而使感染成為可能。該腳本下載並運行兩個DLL文件,用於處理所收集信息的記錄和上載,同時假裝是合法的系統進程。

該過程適用於基於簽名的檢測工具,因為只下載或安裝DLL文件。這使得它幾乎沒有機會在此過程中掃描並捕獲攻擊。自2017年末以來,這種方法使得Astaroth能夠在雷達下飛行並在網上茁壯成長,而不依賴於木馬下載或任何漏洞攻擊。

無文件惡意軟件檢測措施

根據Lelli的說法,傳統的以文件為中心的防病毒解決方案只有一次機會來檢測攻擊 - 在下載兩個DLL文件期間,因為攻擊中使用的可執行文件被認為是非惡意的。 Lelli補充說,DLL使用代碼混淆,它們在不同的活動之間有所不同,這意味著專注於檢測這兩個將是“惡性陷阱”。

Microsoft和其他供應商不得不依賴於啟發式檢測工具,例如那些密切關注WMIC命令行代碼使用的人,在任何DLL文件加載時應用規則。檢查文件的年齡,阻止新創建的DLL運行和類似的策略允許更新的安全工具趕上無文件惡意軟件。

屏幕截圖&其他影像

'伟大的地狱公爵'DLL恶意软件攻击揭示了恶毒的Astaroth无文件恶意软件威胁 Image 1

發表評論

請不要將此評論系統用於支持或結算問題。 若要獲取SpyHunter技術支持,請通過SpyHunter打開技術支持問題直接聯繫我們的技術團隊。 有關結算問題,請參考“結算問題?”頁面。 有關一般查詢(投訴、法律、媒體、營銷、版權),請訪問我們的“查詢和反饋”頁面。

'Great Duke Of Hell' DLL Malware Attack Uncovers Vicious Astaroth Fileless Malware Threat

偉大的地獄公爵無人防守的惡意軟件攻擊微軟最近放寬了一個非常面紗不愉快fileless惡意軟件的作品而不必成為受害者的機器上安裝竊取數據- 亞斯她錄

直接從神秘書籍“Ars Goetia”和“所羅門之鑰”中以同名惡魔命名,據說通過虛榮和懶惰誘惑他的受害者,這種惡意軟件自2017年以來一直在流通。它主要用於從南美和歐洲公司竊取有針對性攻擊的數據,這些攻擊使用魚叉式網絡釣魚作為入境點。

根據微軟後衛APT的研究員Andrea Lelli的說法,有一些東西可以讓這種特殊感染變得獨一無二,因為它具有根據某些傳統防病毒程序的檢測方法隱身滲透的能力。

根據Lelli的說法,Astaroth以個人憑證,鍵盤記錄等信息竊取而臭名昭著,這些數據隨後被洩露到遠程服務器。然後,攻擊者使用這些數據進行金融盜竊,將個人信息出售給其他犯罪分子,甚至跨網絡橫向移動。

Astaroth如何感染系統

攻擊通常在受害者打開電子郵件中的鏈接時開始,該電子郵件是在考慮使用魚叉式網絡釣魚的情況下發生的 - 這是攻擊者在其操作過程中使用的社交工程工具。這種騙局旨在打開鏈接,這會打開終端命令的快捷方式文件,最終下載並運行JavaScript代碼,從而使感染成為可能。該腳本下載並運行兩個DLL文件,用於處理所收集信息的記錄和上載,同時假裝是合法的系統進程。

該過程適用於基於簽名的檢測工具,因為只下載或安裝DLL文件。這使得它幾乎沒有機會在此過程中掃描並捕獲攻擊。自2017年末以來,這種方法使得Astaroth能夠在雷達下飛行並在網上茁壯成長,而不依賴於木馬下載或任何漏洞攻擊。

無文件惡意軟件檢測措施

根據Lelli的說法,傳統的以文件為中心的防病毒解決方案只有一次機會來檢測攻擊 - 在下載兩個DLL文件期間,因為攻擊中使用的可執行文件被認為是非惡意的。 Lelli補充說,DLL使用代碼混淆,它們在不同的活動之間有所不同,這意味著專注於檢測這兩個將是“惡性陷阱”。

Microsoft和其他供應商不得不依賴於啟發式檢測工具,例如那些密切關注WMIC命令行代碼使用的人,在任何DLL文件加載時應用規則。檢查文件的年齡,阻止新創建的DLL運行和類似的策略允許更新的安全工具趕上無文件惡意軟件。

發表評論

請不要將此評論系統用於支持或結算問題。 若要獲取SpyHunter技術支持,請通過SpyHunter打開技術支持問題直接聯繫我們的技術團隊。 有關結算問題,請參考“結算問題?”頁面。 有關一般查詢(投訴、法律、媒體、營銷、版權),請訪問我們的“查詢和反饋”頁面。