微软检测到高度自动化的无文件 Astaroth 木马活动

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

微软 Defender ATP 研究团队的研究人员监测到，攻击者使用无文件恶意软件活动把信息窃取木马（Astaroth 木马）释放到受感染计算机内存中。

Astaroth 木马兼信息窃取器能够通过键盘记录模块、操作系统调用拦截和剪贴板监控窃取受害者的敏感信息如用户凭证。Astaroth 木马也滥用 LOLbins (Live-off-the-and) 二进制如 Windows WMIC命令行界面偷偷地在后台下载并安装恶意软件 payload。

微软 DefenderATP 研究团队这次发现的恶意软件活动使用了多种无文件技术与一种多阶段感染进程。该感染进程以一份包含可导致受害者点击 LNK 文件恶意链接的钓鱼邮件开始。

双击后，“LNK 文件导致含有‘Format’参数的 WMIC工具执行，从而导致JavaScript 代码下载执行。该 JavaScript 反过来会通过滥用 Bitsadmin 工具下载 payload。”

这些在后台下载的恶意 payload 均以 Base64编码并使用合法的 Certutil 工具在受攻陷系统上解码。这款合法的 Certutil 工具是将会通过 Regsvr32 工具加载的四个 DLL 文件。

被加载的 DLL 文件之后会在内存中加载第二个 DLL，后者反照会加载第三个 DLL 文件以解密并在Userinit 中注入另外一个 DLL 文件。第四个 DLL 文件作为代理将会使用 process hollowing 技术反照地在内存中加载第五个 DLL 文件。

第五个也就是最后一个 DLL 文件是最终的 Astaroth 信息窃取木马恶意软件 payload，它将收集并把受害者的多种敏感信息提取至受攻击者控制的命令和控制服务器中。

研究人员补充道，“耐人寻味的是，在攻击链中并未运行任何非系统工具的文件。这种技术即是 living off the land 技术：使用已经存在目标系统上的合法工具伪装成常规活动。”

由于微软研究人员仅关注木马感染是如何被检测到且遭微软 Defender ATP 感染的，因此仅在报告中说明了恶意软件攻击的初始阶段和执行阶段。

研究人员还枚举了Astaroth 无文件恶意软件在每个感染阶段所使用的技术以及用于在受攻陷系统上静默传播感染的 Windows 工具。

正如该研究团队的成员 Adrea Lelli 总结的那样，“滥用无文件技术并没有让恶意软件远离安全软件的视线。相反，某些无文件技术可能因为太过不寻常而立马引发关注，就像是装满钱的袋子自己走动一样。”

2月份，Cybereason公司曾检测到另外一起 Astaroth 攻击活动，它利用安全和反恶意软件解决方案以及 living-off-the-land 技术以及 living-off-the-land 二进制 (LOLbins) 窃取欧洲和巴西地区受害者的信息。

原文链接

https://www.bleepingcomputer.com/news/security/microsoft-discovers-fileless-astaroth-trojan-campaign/

题图：Pixabay License

文内图：bleepingcomputer

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。