示意圖。Original photo by Blogtrepreneur (CC BY 2.0) (https://www.flickr.com/photos/143601516@N03/29402709463/in/photostream/)

繼今年7月公布的Astaroth無檔案(fileless)攻擊行動之後,微軟本周再公布新一波的Nodersok無檔案攻擊,駭客同樣利用合法工具展開攻擊,目的是將受害系統變成代理人以執行點擊詐騙,估計已有數千台Windows電腦被纏上。

狡猾的無檔案攻擊使用各種離地攻擊(living-off-the-land)技術,藉由合法工具展開一連串的感染行動。

Nodersok的開端始於使用者藉由點選或瀏覽惡意廣告,而下載與執行一個HTML程式(HTA),藏匿在該HTA檔案的JavaScript程式碼,就會自C&C伺服器下載另一個JavaScript檔案,接著下載內含PowerShell指令但被加密的MP4檔案,解密後利用PowerShell指令,來下載可關閉Windows Defender Antivirus的模組與其它模組,最後留下的是能把受害電腦變成代理人、基於Node.JS框架的JavaScript模組。

微軟表示,Nodersok與Astaroth一樣,感染鏈的每個步驟都只在合法的工具上執行,不管是機器內建的mshta.exe與powershell.exe,或者是自第三方網站下載的node.exe及Windivert.dll/sys,而伴隨這些腳本程式或Shellcodes出現的功能,都是以加密的形式出現,之後再行解密,並只於記憶體內執行,並沒有任何惡意的執行程式被寫入硬碟。

假使去除Nodersok所借道的合法工具,那麼真正的惡意檔案只有一開始的HTA檔案、最後的JavaScript模組,以及大量的加密檔案。

微軟是在今年7月中發現Nodersok攻擊行動,因偵測到mshta.exe的使用出現異常而展開調查。Nodersok主要鎖定美國及歐洲的一般消費者,只有3%的受害者為特定組織內的成員。


Advertisement

更多 iThome相關內容