Astaroth, trojan, der har specialiseret sig i at stjæle følsomme oplysninger, blev opdaget sidste år, og indtil nu har det udviklet sig til en top snigende malware, der spreder sin beskyttelse mod kontrol for at forhindre sikkerhedsforskere i at opdage og stoppe.
Sidste år meddelte Microsoft, at Windows Defender ATP-teamet opdagede mange igangværende malware-kampagner. Disse kampagner distribuerede Astaroth-malware på en fileløs måde, hvilket gør det endnu mere farligt.
Når vi taler om malware-kampagner, kan du klemme dem i knoppen med disse antimalwareværktøjer.
Sådan beskrev en Microsoft Defender ATP-forsker angrebene:
Jeg lavede en standard gennemgang af telemetri, da jeg bemærkede en anomali fra en detektionsalgoritme designet til at fange en bestemt fileløs teknik. Telemetri viste en kraftig stigning i brugen af Windows Management Instrumentation Command-line (WMIC) værktøj til at køre et script (en teknik, som MITER henviser til XSL Script Processing), hvilket indikerer et fileless angreb
Hvad er Astaroth indtil videre?
I en ny rapport siger Cisco Talos, at Astaroth stadig er afhængig af e-mail-kampagner til distribution, den har en fileløs henrettelse, og den lever af landet (LOLbins). Den dårlige nyhed er, at den også fik tre nye større opdateringer, der er citeret fra Cisco Talos-rapporten:
- Astaroth implementerer en robust serie af anti-analyse / unddragelsesteknikker, blandt de mest grundige, vi har set for nylig.
- Astaroth er effektiv til at undgå afsløring og med rimelig sikkerhed sikre, at den kun installeres på systemer i Brasilien og ikke på sandkasser og forskersystemer.
- Ny brug af YouTube-kanaler til C2 hjælper med at undgå afsløring ved at udnytte en almindeligt anvendt tjeneste på almindeligt anvendte porte.
Hvad er Astaroth, og hvordan det fungerer?
Hvis du ikke vidste det, er Astaroth en velkendt malware, der er fokuseret på at stjæle følsomme oplysninger som legitimationsoplysninger og andre personlige data og sende dem tilbage til angriberen.
Selvom mange Windows 10-brugere har en antimalware- eller antivirussoftware, gør den fileløse teknik malware sværere at opdage. Her er OP-ordningen for, hvordan angrebet fungerer:
En meget interessant ting er, at ingen filer undtagen systemværktøjer er involveret i angrebsprocessen. Denne teknik kaldes lever af landet og det bruges normalt til let bagdør traditionelle antivirusløsninger.
Hvordan kan jeg beskytte mit system mod dette angreb?
Først og fremmest skal du sørge for, at din Windows 10 er opdateret. Sørg også for, at din Windows Defender Firewall er i gang og har de nyeste definitionsopdateringer.
Udsæt dig ikke for unødvendige risici. Find ud af, hvorfor Windows Defender er den eneste malware-barriere, du har brug for!
Hvis du er en Office 365-bruger, vil du være glad for at vide det:
Til denne Astaroth-kampagne registrerer Office 365Advanced Threat Protection (Office 365ATP) e-mails med ondsindede links, der starter infektionskæden.
Heldigvis er Astaroth målrettet mod Brasilien, og de e-mails, du modtager, er i Portughese. Vær dog på tæerne med det.
Som altid, for flere forslag eller spørgsmål, nå til kommentarfeltet nedenfor.
Redaktørens note: Dette indlæg blev oprindeligt offentliggjort i juli 2019 og er siden blevet moderniseret og opdateret i maj 2020 for friskhed, nøjagtighed og omfattende.
- Cybersikkerhed
- malware