原文标题:Microsoft Spots Nodersok Malware Campaign That Zombifies PCs
原文作者: Sergiu Gatlan
译文出自:云子可信官方论坛
永久链接:https://bbs.cloudtrust.net.cn/thread-1197-1-1.html
译者:云子可信汉化组
imageMicrosoft Defender ATP研究团队的研究人员将其发现的一项新的空投恶意活动称为Nodersok,该活动将其自己的LOLBins丢弃,以基于Node.js的恶意软件感染Windows计算机,该恶意软件会将感染的设备变为下一个感染源,感染新的电脑。
与其他恶意软件攻击仅使用它们所破坏的设备上存在的离地二进制文件(LOLBins)不同,Nodersok背后的攻击者同时还提供了合法的Node.exe Node.js框架和Windows Packet Divert (WinDivert)网络数据包捕获工具将它们定位到目标设备。
Nodersok恶意软件在几周内攻击了数千台机器,这些被攻击用户大都自美国和欧洲的家庭用户,大约所有攻击的3%还针对来自教育、商业专业服务、医疗保健、金融等行业的组织和零售。
思科Talos还发现了该恶意软件的新特性,并根据“恶意软件在变量声明和创建环境变量期间使用的命名约定”将其命名为Divergent。
思科Talos说:“攻击者可以利用这种恶意软件将其瞄准公司网络,并且其主要目的是进行点击欺诈。”
imageNodersok攻击分布(Microsoft)
微软研究人员发现:“该活动特别有趣,不仅因为它采用了先进的无文件技术,还因为它依赖于一种难以捉摸的网络基础架构,该网络基础架构会导致攻击在雷达之下进行。”
“我们在7月中旬发现了该活动,当时Microsoft Defender ATP遥测技术发现了MSHTA.exe异常使用的可疑模式。”
Nodersok使用了一个多阶段感染过程,该过程首先是目标网络浏览器的过路入侵,从而导致下载的HTA文件的执行是通过恶意广告或用户单击恶意链接来完成的。
HTA中捆绑的JavaScript代码以XSL文件的形式下载第二阶段的组件,其中包含基于JavaScript的脚本或独立的JavaScript文件。
imageNodersok攻击链 (Microsoft)
反过来,这将运行在deadbeef 环境变量中编码的PowerShell命令, 以将其从PowerShell进程的命令行中隐藏,该命令将启动多个其他PowerShell实例以下载并执行其余恶意模块。
第二阶段PowerShell下载的模块列表很长,并且以旨在放大受感染计算机的最终基于Node.js的框架结尾:
尝试禁用Windows Defender防病毒和Windows Update的PowerShell模块
尝试执行特权提升的二进制Shellcode
Windivert数据包捕获库
运行并调用Windivert数据包筛选引擎的Shellcode
Node.exe(来自(Node.JS框架)
最终的有效负载应用程序js,这是用Node.JS框架编写的JavaScript模块,可以将机器变成代理中转站,以使它们能够访问其基础结构的其他组成部分,例如命令和控制(C2)服务器以及受感染的其他站点和计算机。努力使他们更容易在恶意行为中隐藏起来。
根据Microsoft Defender ATP研究小组的说法,“感染链的每一步都只能运行合法的LOLBins,可以从计算机本身(mshta.exe,powershell.exe)或下载的第三方LOLBins(node.exe,Windivert.dll / SYS)“。
“所有相关功能都驻留在脚本和shellcode中,这些脚本和shellcode几乎总是经过加密,然后解密,然后仅在内存中运行。绝不会将恶意可执行文件写入磁盘。”
image研究人员还列举了 Nodersok的操作员在每个感染阶段所使用的各种技术,以及他们用于在感染系统上秘密传播感染的合法Windows工具。
7月,Microsoft Defender ATP研究小组的研究人员发现了又一次无文件恶意软件活动,该活动将窃取信息的Astaroth Trojan丢入了受感染计算机的内存中。
就像Nodersok战役一样,传递Astaroth Trojan的攻击也使用了各种无文件技术和多阶段感染过程,初始感染媒介是包含恶意链接的鱼叉式网络钓鱼电子邮件。
国内的企业用户并不用过于担心 Nodersok 病毒对电脑产生影响,即便目前还没有好的方法去解决病毒威胁,我们还可以通过给电脑安装云子可信终端管理系统来阻止病毒的发生。
image云子可信终端管理软件
云子可信的上网行为管理包括黑名单、白名单,管控不监控,保障网络安全管理。
U盘管控功能则优化了中小企业U盘管理流程,避免了带毒U盘随意接入计算机,保证企业平稳健康发展,为网络安全管理助力。
除此以外,云子可信还通过软件管理,有效禁止流氓软件和恶意捆绑、携带病毒的软件进入计算机,并禁用无用的第三方软件,保障企业网络安全管理。
同时,根据IT设备管理的持续性特点,云子可信会有专门的团队进行随时、随地、全天候的维护,保证服务的连续性与持续性,不会出现求助无门的情况。
并且因为 SaaS 轻量化特性,当企业业务扩展时,如在新的地点开设分支机构,不再需要传统复杂的系统部署,就可以快速的支撑业务的需求。
云子可信是国内最具实力的网络安全厂商启明星辰旗下明星产品,权威性毋庸置疑,使用体验也非常不错,布局采用左右结构,以蓝绿色为主题色,清新不沉闷。不同与传统的IT运维管理软件,云子可信IT运维管理软件上手简单,从安装部署到全网管控一气呵成,是一款轻量级的管理软件。
image
网友评论