Microsoft Defender ATP研究团队发布了一份报告,内容涉及恶意软件活动,该活动将Astaroth木马放入了受感染计算机的内存中。 这个特定的战役以其分配方法和复杂的攻击链而著称。 它使用无文件分发技术将其活动隐藏在安全解决方案中,并滥用各种合法的Windows软件功能进行静默传播。
Astaroth于2017年被发现,被称为信息窃取者。 它能够从受影响的用户那里获取敏感信息(帐户凭据,击键和其他数据),并将其发送给攻击者。 攻击链
在标准遥测审查期间,Microsoft Defender ATP研究团队的研究人员Andrea Lelli注意到使用Windows Management Instrumentation命令行(WMIC)工具运行脚本的高峰,这表明无文件技术 正在使用。 经过进一步调查,莱利发现了Astaroth攻击活动,攻击者试图将恶意软件直接安装在受害设备的内存中。
Lelli解释说,感染通常始于带有恶意URL的垃圾邮件,这些URL指向LNK文件的快捷方式。 如果单击该文件,则将运行WMIC,并允许下载和执行JavaScript代码。 该代码反过来滥用Bitsadmin工具来下载有效负载,最终的最终有效负载为Astaroth。 Lelli在Microsoft报告中概述了整个攻击链。
该恶意软件活动实际上运行合法的Windows工具,该工具将下载其他代码,然后将其传递。 该操作链在内存中执行,而没有在磁盘上保存任何文件,从而使其成为“无文件执行”。 该活动的无文件性质使传统的防病毒工具很难检测到它,尽管更先进的安全解决方案能够防御这种威胁。
[阅读:安全性101:防御无文件恶意软件]
Lelli指出,由于在攻击链中运行的所有文件都是系统工具,因此该恶意软件活动完全“远离土地”。 通过滥用目标系统上已经存在的合法工具,它试图将其行为伪装成常规活动。 应对无文件威胁
这种无文件技术的使用并不新鲜。 实际上,在2018年,无文件事件有所增加。 网络分子继续使用无文件技术来更新旧的恶意软件。
但是,尽管无文件威胁可能不如传统威胁那么明显,但它们留下了可以被IT和安全团队检测到的明显迹象。 企业可以通过以下几种方法来防范无文件威胁: 请谨慎处理不请自来的电子邮件或文件,尤其是那些提示用户启用宏或脚本的电子邮件或文件。 保持系统及其应用程序为最新。 确保使用系统管理工具。 部署额外的安全层,例如行为监控,沙箱,防火墙以及入侵检测和预防系统。 主动监视端点和网络。
为防止使用垃圾邮件作为媒介的无文件威胁,企业可以使用趋势科技端点解决方案趋势科技趋势科技智能防护套件和企业安全无忧版。 两种解决方案都可以通过检测恶意文件和垃圾邮件来保护用户和企业免受威胁,并阻止所有相关的恶意URL。
妥协指标 SHA 256 检测名称
762f962251800b0028a90b53a50503558fff9116c43fccdab376a05fdd03e27e TSPY_BESTAFERA.ENC
9cef4e4b27b956035107ae36dac44fc4bd0ed8e1ae7ae58d10708bae3de636a0 木马Win32.OCCAMY.DAM
536d9ff73c183f5a4cf5c230f898b4e5b938c7a8bbd343edf818d5114eaf6521 木马Win32.OCCAMY.DAM
90dcef5b84678f4a9491a1520cf43e17de5b97e13a1ad5d5609438deb8cf2a40 TrojanSpy.Win32.GUILDMA.AC
e44548f0c7d26a6d11f3ab29753e36f525559dc2e443bff96346f1be17cd644a TrojanSpy.Win32.GUILDMA.AC
dcc9ba0819601b18b18e2594bca7e700938dfe85c6904feed1841852016decdb TrojanSpy.Win32.BESTAFERA.ENC
6f8692f08ccd5ab46136fca179be23f67bffed8bbd61ea16276be4268db404f2 TrojanSpy.Win32.BESTAFERA.ENC
3e70e0c3a10855aa6f8bf13391ce91bdefcd78a7c3e67c93c0e6e040088d604f TrojanSpy.Win32.BESTAFERA.ENC
d64d1c73460746d08e45fd97f29d1e464809fcfc869d3a6831b90897ca99e83c TrojanSpy.Win32.BESTAFERA.ENC
314befd15c890bdec036ccfeba1248417a0b204f49b342ac6727c07756ec9eae TrojanSpy.Win32.BESTAFERA.ENC
8f2158344f9df9dd011a4e76749e4a8f46a556a4110b796561855c5bbabd766a TrojanSpy.Win32.BESTAFERA.ENC
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢