微软周一警告黑客近日利用无文件(fileless)或离地攻击手法,以高明手法躲避杀毒软件侦测传播后门程序以便从受害计算机窃取重要数据。
微软Windows Defender ATP研究小组成员Andrea Lelli,发现到名为Astaroth的后门程序展现高超的离地攻击(Living off the Land,LoL)手法,在其复杂的攻击链其中完完全全只使用系统工具,使杀毒软件侦测难上加难。
他是在一次计算机遥测(telemetry)信号的检查中,发现有程序使用WMIC(Windows Management Instrumentation Command-line)工具跑一段脚本程序(XS Script Processing),显示为无文件攻击。经过分析发现攻击者直接在计算机内存中执行Astaroth后门程序。Astaroth 2017年首先被发现出现在南美洲一带,是知名的数据窃取恶意程序,它会搜集登录凭证、按钮点击纪录等敏感信息再发送给远程攻击者,后者再以这些信息在网络横向移动、窃取财物、或在暗网上出售。
Astaroth攻击最值得注意的是,所有执行文件都是系统工具。这波攻击一开始,黑客是发送鱼叉式钓鱼邮件诱使用户点入连接下载LNK档,并启动一连串使用合法工具的攻击行为。首先,当用户双击后,LNK档会引发带有/Format参数的WMIC工具执行,进而下载并执行JavaScript程序,后者之后再利用Bitsadmin工具下载恶意程序酬载。
所有酬载程序都是以Base64编码,并以合法的Certutil工具解码。其中两个酬载程序加载明码的DLL档(其他都经过加密),接着利用Regsvr32工具加载其中一个DLL档,这个文件再解密、下载其他文件,直到最后的大魔王Astaroth被悄悄注入到Userinit程序中。
Astaroth 2018年初也波及欧洲。去年10月再被发现于南美洲蔓延,短短一周即感染了8000多台计算机。