Friendoffriends
Astaroth, trojan specjalizujący się w kradzieży poufnych informacji, został wykryty w zeszłym roku i do tej pory ewoluował w czołowe tajne złośliwe oprogramowanie, dywersyfikując swoją ochronę przed kontrolami, aby uniemożliwić badaczom bezpieczeństwa wykrycie go i zatrzymanie..
W zeszłym roku Microsoft ogłosił wykrycie wielu trwających kampanii złośliwego oprogramowania przez zespół Windows Defender ATP. Kampanie te rozpowszechniały złośliwe oprogramowanie Astaroth w sposób bezplikowy, co czyni je jeszcze bardziej niebezpiecznym.
Mówiąc o kampaniach złośliwego oprogramowania, możesz je zdusić w zarodku za pomocą tych narzędzi antymalware.
Oto jak badacz Microsoft Defender ATP opisał ataki:
Robiłem standardowy przegląd telemetrii, kiedy zauważyłem anomalię w algorytmie wykrywania zaprojektowanym do wychwytywania określonej techniki bezplikowej. Telemetria wykazała gwałtowny wzrost wykorzystania narzędzia wiersza poleceń Instrumentacji zarządzania Windows (WMIC) do uruchamiania skryptu (technika, którą MITER odnosi się do przetwarzania skryptów XSL), co wskazuje na atak bezplikowy
Czym jest Astaroth do teraz?
W nowym raporcie Cisco Talos mówi, że Astaroth nadal polega na kampaniach e-mailowych do dystrybucji, ma bezplikowe wykonanie i żyje z ziemi (LOLbins). Zła wiadomość jest taka, że zyskał również trzy nowe główne aktualizacje wymienione w raporcie Cisco Talos:
- Astaroth implementuje solidną serię technik antyanalizy / unikania, jednych z najbardziej dokładnych, jakie widzieliśmy ostatnio.
- Astaroth skutecznie omija wykrycie i zapewnia, z rozsądną pewnością, że jest instalowany tylko w systemach w Brazylii, a nie w piaskownicach i systemach badawczych.
- Nowatorskie wykorzystanie kanałów YouTube dla C2 pomaga uniknąć wykrycia, wykorzystując powszechnie używaną usługę na powszechnie używanych portach.
Co to jest Astaroth i jak to działa?
Jeśli nie wiesz, Astaroth to dobrze znane złośliwe oprogramowanie, które koncentruje się na kradzieży poufnych informacji, takich jak poświadczenia i inne dane osobowe, i wysyłaniu ich z powrotem do atakującego.
Chociaż wielu użytkowników systemu Windows 10 ma oprogramowanie chroniące przed złośliwym oprogramowaniem lub antywirusem, technika bezplikowa sprawia, że złośliwe oprogramowanie jest trudniejsze do wykrycia. Oto schemat PO pokazujący, jak działa atak: 
Bardzo ciekawe jest to, że w procesie ataku nie biorą udziału żadne pliki, z wyjątkiem narzędzi systemowych. Ta technika nazywa się życie z ziemi i zwykle jest używany do łatwego backdoora do tradycyjnych rozwiązań antywirusowych.
Jak mogę chronić swój system przed tym atakiem?
Przede wszystkim upewnij się, że Twój system Windows 10 jest aktualny. Upewnij się również, że zapora systemu Windows Defender jest uruchomiona i działa oraz ma najnowsze aktualizacje definicji.
Nie narażaj się na niepotrzebne ryzyko. Dowiedz się, dlaczego Windows Defender jest jedyną barierą przed złośliwym oprogramowaniem, której potrzebujesz!
Jeśli jesteś użytkownikiem Office 365, z przyjemnością dowiesz się, że:
W przypadku tej kampanii Astaroth usługa Office 365 Advanced Threat Protection (Office 365ATP) wykrywa wiadomości e-mail zawierające złośliwe łącza, które rozpoczynają łańcuch infekcji.
Na szczęście Astaroth atakuje głównie Brazylię, a e-maile, które będziesz otrzymywać, są w Portugalii. Miej jednak na uwadze to.
Jak zawsze, po więcej sugestii lub pytań sięgnij do sekcji komentarzy poniżej.
Uwaga redaktora: Ten post został pierwotnie opublikowany w lipcu 2019 r. I od tego czasu został odnowiony i zaktualizowany w maju 2020 r. Pod kątem świeżości, dokładności i kompleksowości.
- Bezpieczeństwo cybernetyczne
- złośliwe oprogramowanie
