安基網 首頁 資訊 安全報 查看內容

Microsoft警告新的罕見的無文件惡意軟件劫持Windows計算機

2019-10-17 09:05| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 當心Windows用戶!互聯網上出現了一種新的惡意軟件傳播方式,已經感染了全球數千臺計算機,很可能您的防病毒程序無法檢測到它。為什么?這是因為,首先,它是一種高級的無文件惡意軟件,其次,它僅利用合法的內置系統實用程序和第三方工具來擴展其功能并損害計算機,而不使用任何惡意代碼。帶來自己的 ...

當心Windows用戶!

互聯網上出現了一種新的惡意軟件傳播方式,已經感染了全球數千臺計算機,很可能您的防病毒程序無法檢測到它。

為什么?這是因為,首先,它是一種高級的無文件惡意軟件,其次,它僅利用合法的內置系統實用程序和第三方工具來擴展其功能并損害計算機,而不使用任何惡意代碼。

帶來自己的合法工具的技術是有效的,很少在野外被發現,從而幫助攻擊者將其惡意活動與常規網絡活動或系統管理任務融合在一起,而留下的足跡卻更少。

由Microsoft和Cisco Talos的網絡安全研究人員獨立發現的,被稱為“ Nodersok ”和“ Divergent ” 的惡意軟件主要通過惡意的在線廣告進行分發,并通過偷渡式下載攻擊感染用戶。

最初于今年7月中旬發現該惡意軟件,旨在將受感染的Windows計算機變成代理,據微軟稱,攻擊者隨后可以將其用作隱藏惡意流量的中繼。而Cisco Talos則認為代理可用于點擊欺詐,從而為攻擊者創造收入。

多階段感染過程涉及合法工具

當惡意廣告在用戶計算機上丟棄HTML應用程序(HTA)文件時,這種感染就開始了,單擊該惡意軟件將執行一系列JavaScript有效負載和PowerShell腳本,這些腳本最終將下載并安裝Nodersok惡意軟件。

“所有相關的功能的駐留在腳本和shellcodes的是幾乎總是以加密的到來,然后進行解密,并運行,而只在內存中。沒有惡意的可執行文件永遠寫入到磁盤,”微軟解釋說。

如圖所示,JavaScript代碼連接到合法的Cloud服務和項目域,以下載并運行第二階段腳本和其他加密組件,包括:

  • PowerShell腳本 -嘗試禁用Windows Defender防病毒和Windows更新。
  • 二進制Shellcode —嘗試使用自動提升的COM界面升級特權。
  • Node.exe —受歡迎的Node.js框架的Windows實現,該框架是受信任的并且具有有效的數字簽名,它執行惡意JavaScript以在受信任進程的上下文中運行。
  • WinDivert(Windows Packet Divert) -合法,強大的網絡數據包捕獲和處理實用程序,惡意軟件用來過濾和修改某些傳出數據包。

最后,該惡意軟件刪除了為Node.js框架編寫的最終JavaScript有效載荷,該框架將受感染的系統轉換為代理。

微軟解釋說:“到此結束感染,最后網絡包過濾器處于活動狀態,并且該計算機正在作為潛在的代理僵尸工作。”

“當機器變成代理時,攻擊者可以將其用作中繼來訪問其他網絡實體(網站,C&C服務器,受感染的機器等),從而使它們可以執行隱蔽的惡意活動。”

根據Microsoft專家的說法,基于Node.js的代理引擎目前有兩個主要目的-首先,它將受感染的系統連接回由攻擊者控制的遠程命令和控制服務器,其次,它接收HTTP請求代理回到它。

另一方面,Cisco Talos的專家得出的結論是,攻擊者正在使用此代理組件來命令受感染的系統導航到任意網頁以獲利和點擊欺詐。

Nodersok感染了成千上萬的Windows用戶

據微軟稱,在過去的幾周中,Nodersok惡意軟件已經感染了數千臺計算機,大多數目標位于美國和歐洲。

盡管該惡意軟件主要針對Windows家庭用戶,但研究人員發現,針對教育,醫療保健,金融,零售,商業和專業服務等行業部門的組織,大約有3%的攻擊針對組織。

由于惡意軟件活動采用了先進的無文件技術,并通過使用合法工具依賴于難以捉摸的網絡基礎架構,因此攻擊活動飛速發展,這使得傳統的基于簽名的防病毒程序很難檢測到它。

“如果排除攻擊所利用的所有干凈合法文件,剩下的只是初始HTA文件,最終基于Node.js的有效負載和一堆加密文件。傳統的基于文件的簽名不足以應對復雜的攻擊這樣的威脅,”微軟說。

但是,該公司表示,該惡意軟件的“行為產生了可見的足跡,對于任何知道在哪里看的人來說,這一足跡都顯而易見”。

今年7月,微軟還發現并報告了另一個名為Astaroth的無文件惡意軟件活動,該活動旨在竊取用戶的敏感信息,而無需在磁盤上放置任何可執行文件或在受害者的計算機上安裝任何軟件。 微軟表示,其Windows Defender ATP下一代保護通過發現異常和惡意行為(例如腳本和工具的執行),在每個感染階段檢測到這種無文件惡意軟件攻擊。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6747941699915350541/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
湖北快3 购买技巧