Microsoft обнаружила новую без файлов вредоносную программу "Astaroth", которая злоупотребляет законными инструментами для взлома Windows | DedicateT.com

Регистрация
18.12.2017
Сообщения
597
Симпатии
334
Баллы
180
#1
1562696487010.png

Широко распространенная кампания вредоносного ПО без файлов под названием Astaroth, обнаруженная с помощью метода “lived off the land” для атаки пользователей Windows с помощью передовой постоянной техники, чтобы избежать обнаружения.

Microsoft обнаружила это без файлов вредоносных программ с помощью алгоритма обнаружения аномалий и наблюдения внезапного всплеска в использовании инструментария управления Windows командной строки (WMIC) инструмент для запуска вредоносного скрипта.

1562696634536.png

Fileless malware - это тип вредоносной техники, которая использует уже существующие Системные инструменты, а также живет только в памяти машины, идеально не оставляя следов после ее выполнения. Он предназначен для размещения в таких нестабильных системных областях , как системный реестр , процессы в памяти и
У вас нет разрешения на просмотр ссылки! Войти или зарегистрироваться
.


Андреа Лелли из Microsoft Defender ATP Research обнаружил, что astaroth без файлов вредоносных программ находится в памяти, чтобы украсть конфиденциальную информацию, как учетные данные, нажатия клавиш и другие данные в конечном итоге exfiltrate данные и поделиться им с злоумышленником удаленно.

Как правило, без файлов вредоносных программ работает простые скрипты и шеллкод непосредственно писать в памяти, используя законные инструменты системного администратора независимо от операционной системы, чтобы избежать обнаружения и с помощью этих инструментов для продвижения вперед для дальнейшей атаки называется
У вас нет разрешения на просмотр ссылки! Войти или зарегистрироваться
, который очень трудно обнаружить с помощью традиционного программного обеспечения безопасности.

В этом случае атака молча устанавливает Astaroth в систему жертвы, и она перемещается по сети, чтобы украсть данные из другой системы в сети.

Процесс заражения astaroth без файлов вредоносных программ
Злоумышленники отправляют копье-фишинговые письма в целевую систему с файлом LNK. Как только жертвы дважды щелкнули по нему, файл LNK начинает выполнять инструмент WMIC, в конечном итоге он загружает и выполняет код JavaScript.

Код Javascript, злоупотребляющий инструментом Bitsadmin для загрузки полезной нагрузки, которая кодируется Base64 и декодируется с помощью инструмента Certutil.

Другой инструмент, называемый Regsvr32, затем используется для загрузки одной из декодированных DLL, которая, в свою очередь, расшифровывает и загружает другие файлы до тех пор, пока конечная полезная нагрузка, Astaroth, не будет введена в процесс Userinit.

1562696949969.png

Согласно отчету Microsoft “ " цепочка атак выше показывает только
У вас нет разрешения на просмотр ссылки! Войти или зарегистрироваться
и
У вас нет разрешения на просмотр ссылки! Войти или зарегистрироваться
. На этих этапах злоумышленники использовали методы без файлов, чтобы попытаться незаметно установить вредоносное ПО на целевые устройства. Astaroth-печально известный похититель информации со многими другими возможностями после взлома, которые не обсуждаются в этом блоге. Предотвращение нападения на этих этапах имеет решающее значение.”


- Быть безымянным не значит быть невидимым; это, конечно, не значит быть незаметным. Используя передовые технологии, Microsoft Defender ATP раскрывает такие угрозы, как Astaroth, прежде чем эти атаки могут нанести больший ущерб”, - заключил Лелли.
 
Похожие темы:

Пользователи, которые просматривали тему (Всего: 5)