无文件的广告活动正在丢弃Astaroth信息窃取者

攻击者利用无文件恶意软件和恶意软件的结合来提供Astaroth信息窃取后门“living off the land”技术,微软’的安全团队警告。

该运动

在整个攻击链中,唯一使用的工具和实用程序是大多数Windows系统上已经存在的工具和实用程序: WMIC , BITS管理员 , Certutil , Regsvr32 用户初始化 .

攻击始于针对员工的鱼叉式网络钓鱼电子邮件,并诱使他们遵循包含的归档文件链接,最后以Astaroth直接在内存中运行(注入到Userinit进程中)结束。

Astaroth无文件恶意软件

“对于传统的以文件为中心的防病毒解决方案,检测到此攻击的唯一机会之窗可能是两个DLL在下载后被解码后-毕竟,攻击中使用的每个可执行文件都是非恶意的,” 视窗 Defender ATP团队的成员Andrea Lelli。

“如果真是这样,这种攻击将构成一个严重的问题:由于DLL使用代码混淆功能,并且在运动之间可能非常迅速地发生变化,因此专注于这些DLL将是一个恶性陷阱。”

相反,防御者应专注于发现无文件技术,其中一些非常不寻常且异常,以至于他们立即引起对恶意软件的关注。

实际上,这就是Microsoft发现该特定活动的方式:他们的遥测显示出使用WMIC工具运行脚本的明显高峰。

以前类似的攻击

提供Astaroth的攻击者已经使用了很长时间,他们使用的技术显然很成功,足以使他们进行较小的修改。

例如,在广告系列中 详细 由Cyber​​eason研究人员于2019年2月发布,攻击者还滥用了WMIC和BITSAdmin实用程序以及Userinit(如果在目标巴西计算机上没有另一个通用的过程’t available).

他们还利用了Avast AV的组件来获取有关目标系统的信息。

这两个活动都以巴西用户/组织为目标。

分享这个