来自微软防御高级威胁防护(ATP)研究小组的研究人员证实,一种复杂的僵尸威胁已经对准了 Windows 用户。 就像之前的地狱公爵一般,诺德索克冲击采用了一种活生生的二元文件“ LOLBin”方式,经由隐藏在显而易见的处所来逃避侦查。 Nodersok 之所以稀奇有趣,也或者加倍危险,是因为它将这些来自机械自己的 lolbin 与它下载的第三方 lolbin 组合在一路。 没有恶意的可执行文件被写入磁盘,而且一次成功的冲击测验禁用 Windows 更新和 Windows Defender。 成千上万的美国和欧洲消费者已经成为此次 Windows 僵尸冲击的方针。 组织也成为了僵尸冲击的方针,包罗教育、金融、医疗保健和零售业在内的行业都受到了影响。
关于 Windows Nodersok 僵尸冲击,我们知道些什么?
据微软防御者高级威胁防护(ATP)研究小构成员安德里亚 · 莱利(Andrea Lelli)说,诺德索克已经活跃了几个礼拜,已经冲击了“数千台机械” ,大部门分布在美国和欧洲。 微软平安研究人员在7月中旬首次发现了这一威胁运动,这得益于微软 Defender ATP 遥测手艺发现的非常使用趋势。 9月初,人们注重到了额外的非常现象,并记录到 Nodersok 运动增加了10倍。
就像七月份地狱公爵 Windows 冲击的恶意软件 Astaroth 一般,诺德索克使用正当的二进制文件,试图经由隐藏在方针机械的惹眼位置来隐藏本身。 这些现存的二进制文件,被称为 lolbin,例如 powershell.exe,在 Windows 历程执行时将威胁运动正当化。
诺德索克僵尸冲击传染链
在 Nodersok 的案例中,传染链经由流传恶意告白或收集垂纶邮件,导致受害者的电脑下载一个 HTML 应用法式(HTA)文件。 该文件包含 JavaScript 代码,然后启动另一个 JavaScript 文件的下载以启动 PowerShell 号令。 然后,PowerShell 下载并执行一系列加密组件,试图禁用 Windows Update、禁用 Windows Defender、提拔权限、下载正当的第三方二进制法式以运行数据包过滤引擎(WinDivert)和 JavaScript 斥地对象(Node.js) ,最后将这个已经被损坏的设备酿成一个“僵尸”代理。 然后,这个僵尸机械能够被长途威胁介入者掌握,作为犯罪收集根蒂举措的中继器使用,个中包罗其他僵尸机械,并进一步恍惚了不法运动。
“所有相关功能都驻留在剧本和旧代码中,这些剧本和旧代码几乎老是加密、解密,然后只在内存中运行,”安德里亚 · 莱利(Andrea Lelli)说,“不会向磁盘写入任何恶意可执行法式。”
凭据 Cisco Talos 对同样的恶意软件冲击的研究,这种威胁不会跟着你电脑的僵尸化而竣事。 思科塔罗斯谍报集体(Cisco Talos Intelligence Group)的威胁研究员埃德蒙 · 布鲁马欣(Edmund Brumaghin)说,“冲击者能够行使这种恶意软件冲击企业收集,似乎首要是为了进行点击欺诈。”。 Brumaghin 还透露,恶意软件加载器自己仍处于活跃的斥地阶段,今朝正在使用多个版本。
匹敌 Windows 僵尸启迪录
你会很愉快地知道,在这场僵尸大灾难眼前,微软会支撑你。 固然从手艺角度来看,行使 lolbin 进行冲击是相当伶俐的,然则微软和 Cisco Talos 已经很好地证实了这一点。 所以,是的,Nodersok 背后的分布式收集根蒂举措,以及它从未将任何恶意可执行文件写入磁盘的事实,的确连系起来,使它可以在最初的雷达下航行。 然则这个隐形大氅很快就被移除了,从而揭示了下面的僵尸威胁。 “ Windows Defender 防病毒客户端的机械进修模型平日检测到用于此次冲击的初始 HTA 文件中的可疑搅浑,” Lelli 说,“诸如历程树和行为序列之类的信息被发送到云中,基于行为的机械进修模型对文件进行分类并识别潜在威胁。” 并且微软 Defender ATP 的防窜改功能能够防止用于禁用 Windows Defender 杀毒软件的系统点窜。 思科进步的恶意软件珍爱(AMP)行使预防引擎也成功地住手这一死(或不死族)在其轨道。
Eset 的收集平安专家杰克 · 摩尔说: “行使原生的 Windows 二进制文件是绕过平安问题的一种非常伶俐的方式,然则它能够获得缓解。”。 无论是恶意告白照样垂纶邮件,LOLBin 僵尸冲击必需从某个处所起头,用户必需在某个时候点击一个链接。 在检测只存在于内存中的无文件恶意软件时,一些平安解决方案比其他方案更好。 若是你恰巧本身采用了这种珍爱办法,“一旦有效载荷被执行,几乎没有什么能够阻止它,”摩尔说,“所以必需把它放在第一个障碍处。” 第一个障碍是用户意识和教育。 “用仿真垂纶邮件测试员工收集风险的公司有时会发生负面影响,”摩尔透露,“然而,若是以一种深图远虑的体式进行,没有人会被证实是准确的,那么它或者会发生一些非常积极的影响,并降低此类冲击的成功率。”
