微軟后衛(wèi)ATP研究團隊的研究人員發(fā)現(xiàn)了一個無文件惡意軟件活動,攻擊者利用這個活動將濫用Astaroth Trojan的信息丟入受感染計算機的內存中�����。
Astaroth特洛伊木馬和信息竊取程序是一種惡意軟件�,它能夠使用密鑰記錄器模塊���,操作系統(tǒng)調用攔截和剪貼板監(jiān)視來竊取敏感信息�,例如來自其受害者的用戶憑證�����。
Astaroth也因濫用生活在陸地的二進制文件(LOLbins)而聞名����,例如Windows Management Instrumentation命令行(WMIC)的命令行界面,以便在后臺秘密下載和安裝惡意軟件有效負載��。
我們最近在一個復雜的攻擊鏈中發(fā)現(xiàn)了一個完全“生活在陸地上”的戰(zhàn)役����,該戰(zhàn)斗鏈直接在內存中運行信息竊取后門#Astaroth。 了解#MicrosoftDefenderATP下一代保護如何打敗#fileless攻擊:https://t.co/c2G53Ll2kf
- Microsoft Security Intelligence(@MsftSecIntel)����,2019年7月8日
Microsoft Defender ATP研究團隊發(fā)現(xiàn)的惡意軟件活動使用了幾種無生命技術和多階段感染流程����,該流程以包含惡意鏈接的魚叉式網(wǎng)絡釣魚郵件開始��,該惡意鏈接將潛在受害者引向LNK文件���。
雙擊后���,“LNK文件使用”/ Format“參數(shù)執(zhí)行WMIC工具,允許下載和執(zhí)行java script代碼.java script代碼通過濫用Bitsadmin工具來下載有效負載�。”
在后臺下載的惡意有效負載都是Base64編碼的�,并使用四個DLL形式的合法Certutil工具在受感染的系統(tǒng)上進行解碼,這些DLL將在Regsvr32工具的幫助下加載����。
隨后加載的DLL文件將在內存中加載第二個DLL,該DLL將反射加載第三個DLL���,用于解密并將另一個DLL注入Userinit��。第四個DLL充當代理�,它將使用進程挖空反射性地將第五個DLL加載到內存中。
這個第五個也是最后一個DLL文件是最終的Astaroth infostealer木馬惡意軟件有效負載��,它將從受害者收集和泄露各種類型的敏感信息到攻擊者控制的命令和控制(C2)服務器���。
“有趣的是��,在攻擊鏈期間,任何文件運行都不是系統(tǒng)工具�����。這種技術被稱為生活在陸地上:使用目標系統(tǒng)上已經(jīng)存在的合法工具偽裝成常規(guī)活動�����,” 研究人員補充道��。
微軟的研究人員僅在他們的報告中描述了惡意軟件攻擊的初始階段和執(zhí)行階段��,因為他們只專注于微軟后衛(wèi)ATP如何檢測和阻止特洛伊木馬感染�。
Microsoft Defender ATP用于阻止感染的防御功能和技術詳細描述了逐步詳細說明用于識別和防止受影響的Windows計算機上的Astaroth感染的解決方案。
Microsoft Defender ATP研究小組還列舉了在每個感染階段使用Astaroth無文件惡意軟件攻擊所使用的技術��,以及用于在受感染系統(tǒng)上秘密傳播感染的Windows工具���。
正如微軟后衛(wèi)ATP研究公司的Andrea Lelli總結的那樣��,“濫用無文件技術并不會使惡意軟件超出安全軟件的范圍或可見性�����。相反�,一些無文件技術可能會如此不尋常和異常,以至于它們會立即引起對惡意軟件的注意��, 就像一袋錢自己移動一樣�。“
早在二月份�,Cybereason在利用安全和反惡意軟件解決方案,以及生活在陸地的技術和濫用生活在陸地的二進制文件(LOLbins)來竊取歐洲和 巴西目標�����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
