欢迎来到优亿在线
国内最专业的科技资讯提供商

微软警告称,可能会出现无文件的Astaroth攻击

微软警告称,一场新的无文件恶意软件攻击活动将“彻底脱离现实”为了逃避侦查

这家计算机巨头的微软捍卫者ATP研究团队的安德里亚·莱利(Andrea Lelli)注意到,5月至6月期间,使用Windows管理工具命令行(WMIC)工具运行脚本的人数激增,于是首次发现了Astaroth的活动。

这是一种在无文件恶意软件攻击中常用的技术,因此这一次证明了这一点,攻击者通过指向. lnk文件的鱼叉式钓鱼链接传播窃取信息的恶意软件。

“当双击时,LNK文件会以’ /Format ‘执行WMIC工具。参数,该参数允许下载和执行JavaScript代码。JavaScript代码通过滥用Bitsadmin工具来下载有效负载,”Lelli解释道。

所有的有效载荷都是使用Certutil工具进行base64编码和解码的。其中两个导致纯DLL文件(其他文件仍然加密)。然后使用Regsvr32工具加载其中一个已解码的dll,然后这些dll解密并加载其他文件,直到最后的有效负载Astaroth被注入Userinit进程。”

在整个过程中,不会运行任何不是合法系统工具的文件,这可能会使遗留安全解决方案难以检测。

Lelli总结道,启发式和行为监控能力是发现这些无形威胁的关键,因为它们专注于检测异常行为,而不是寻找签名或可执行文件。

无文件恶意软件和“生活在土地上”技术已经存在好几年了,尽管它们在今天被越来越频繁地使用。

Malwarebytes称,2018年此类攻击约占总威胁的35%,成功的可能性是基于文件的攻击的10倍。

今年早些时候,趋势科技公司透露,2017年8月至2018年12月期间,对无形威胁的检测大幅增加了819%。它声称沙箱,以及监测行为指标和流量,可以帮助白帽子对抗这种日益增长的威胁。

历史上的今天
七月
9
赞(0)
未经允许不得转载:优亿在线 » 微软警告称,可能会出现无文件的Astaroth攻击
分享到: 更多 (0)
标签:

相关推荐

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  • Q Q(选填)

优亿在线科技网 更权威 更方便

优亿在线联系我们