微軟Windows Defender ATP研究小組成員Andrea Lelli,發現到名為Astaroth的後門程式展現高超的離地攻擊(Living off the Land,LoL)手法,在其複雜的攻擊鏈當中完完全全只使用系統工具,使防毒軟體偵測難上加難。(圖片來源/微軟)

微軟周一警告駭客近日利用無檔案(fileless)或離地攻擊手法,以高明手法躲避防毒軟體偵測散佈後門程式以便從受害電腦竊取重要資料。

微軟Windows Defender ATP研究小組成員Andrea Lelli,發現到名為Astaroth的後門程式展現高超的離地攻擊(Living off the Land,LoL)手法,在其複雜的攻擊鏈當中完完全全只使用系統工具,使防毒軟體偵測難上加難。

他是在一次電腦遙測(telemetry)訊號的檢查中,發現有程式使用WMIC(Windows Management Instrumentation Command-line)工具跑一段腳本程式(XS Script Processing),顯示為無檔案攻擊。經過分析發現攻擊者直接在電腦記憶體中執行Astaroth後門程式。Astaroth 2017年首先被發現出現在南美洲一帶,是知名的資料竊取惡意程式,它會蒐集登入憑證、按鍵點擊紀錄等敏感資訊再傳送給遠端攻擊者,後者再以這些資訊在網路橫向移動、竊取財物、或在暗網上出售。

Astaroth攻擊最值得注意的是,所有執行檔案都是系統工具。這波攻擊一開始,駭客是傳送魚叉式釣魚郵件誘使用戶點入連結下載LNK檔,並啟動一連串使用合法工具的攻擊行為。首先,當用戶雙擊後,LNK檔會引發帶有/Format參數的WMIC工具執行,進而下載並執行JavaScript程式,後者之後再利用Bitsadmin工具下載惡意程式酬載。

所有酬載程式都是以Base64 編碼,並以合法的Certutil工具解碼。其中兩個酬載程式載入明碼的DLL檔(其他都經過加密),接著利用Regsvr32工具載入其中一個DLL檔,這個檔案再解密、下載其他檔案,直到最後的大魔王Astaroth被悄悄注入到Userinit程序中。

Astaroth 2018年初也擴及歐洲。去年10月再被發現於南美洲蔓延,短短一周即感染了8000多台電腦。 


Advertisement

更多 iThome相關內容