继今年7月公布的Astaroth无文件(fileless)攻击行动之后,微软本周再公布新一波的Nodersok无文件攻击,黑客同样利用合法工具展开攻击,目的是将受害系统变成代理人以执行点击诈骗,估计已有数千台Windows计算机被缠上。
狡猾的无文件攻击使用各种离地攻击(living-off-the-land)技术,借由合法工具展开一连串的感染行动。
Nodersok的开端始于用户借由点击或浏览恶意广告,而下载与执行一个HTML程序(HTA),藏匿在该HTA文件的JavaScript程序代码,就会自C&C服务器下载另一个JavaScript文件,接着下载内置PowerShell指令但被加密的MP4文件,解密后利用PowerShell指令,来下载可关闭Windows Defender Antivirus的模块与其它模块,最后留下的是能把受害计算机变成代理人、基于Node.JS框架的JavaScript模块。
微软表示,Nodersok与Astaroth一样,感染链的每个步骤都只在合法的工具上执行,不管是机器内置的mshta.exe与powershell.exe,或者是自第三方网站下载的node.exe及Windivert.dll/sys,而伴随这些脚本程序或Shellcodes出现的功能,都是以加密的形式出现,之后再行解密,并只于内存内执行,并没有任何恶意的执行程序被写入硬盘。
如果去除Nodersok所借道的合法工具,那么真正的恶意文件只有一开始的HTA文件、最后的JavaScript模块,以及大量的加密文件。
微软是在今年7月中发现Nodersok攻击行动,因侦测到mshta.exe的使用出现异常而展开调查。Nodersok主要锁定美国及欧洲的一般消费者,只有3%的受害者为特定组织内的成员。