مایکروسافت هشدار داد
شناسایی تروجان Astaroth دشوار است
کد مطلب: 15541
تاریخ انتشار : چهارشنبه ۱۹ تير ۱۳۹۸ ساعت ۱۲:۰۷
 
مایکروسافت از کشف عملیات انتشار تروجان Astaroth خبر داد که شناسایی آن توسط راهکارهای ضدویروس سنتی دشوار است.
شناسایی تروجان Astaroth دشوار است
 
 
Share/Save/Bookmark
مایکروسافت از کشف عملیات انتشار تروجان Astaroth خبر داد که شناسایی آن توسط راهکارهای ضدویروس سنتی دشوار است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، تیم امنیت مایکروسافت به تازگی هشداری را درباره یک عملیات انتشار بدافزار Astaroth منتشر کرده‌است. در حمله انجام شده تروجان Astaroth در یک فرایند اجرای بدون فایل (fileless) منتقل شده‌است که شناسایی آن توسط راهکارهای ضدویروس سنتی به سختی انجام می‌شود.

این حملات توسط تیم نرم‌افزار ضدویروس ویندوز به نام Windows Defender ATP شناسایی شده است. حملات زمانی نمایان شدند که میزان استفاده از ابزار خط فرمان مدیریتی ویندوز (WMIC) به‌طور ناگهانی افزایش یافت. این ابزار قانونی در تمامی نسخه‌های مدرن ویندوز وجود دارد، اما افزایش ناگهانی در استفاده از آن بیانگر یک الگوی خاص حمله بدافزاری است.

در این حملات سایبری یک عملیات اسپم گسترده مشاهده شد که در ایمیل‌های ارسالی یک لینک به یک فایل میان‌بر LNK وجود داشت. زمانی که کاربر این فایل را دانلود و اجرا کند، ابزار WMIC اجرا خواهد شد و سپس دامنه گسترده‌ای از ابزارهای قانونی ویندوز، یکی پس از دیگری اجرا می‌شوند. این ابزارها کدهای اضافی را اجرا می‌کنند و خروجی یک ابزار به ابزار دیگر منتقل می‌شود که هر فرایند به تنهایی در حافظه و بدون ذخیره‌سازی هیچ فایلی انجام می‌شود. به این فرایند، اجرای بدون فایل گفته می‌شود که این کار شناسایی بدافزار توسط راهکارهای امنیتی سنتی را مشکل می‌کند، زیرا هیچ فایلی در سیستم وجود ندارد که مورد اسکن ضدویروس قرار گیرد.

در انتهای فرایند آلوده‌سازی، تروجان Astaroth دانلود و اجرا می‌شود. این تروجان یک سارق اطلاعات شناخته شده است که می‌تواند اطلاعات احرازهویت تعداد زیادی از برنامه‌ها را دریافت و به یک سرور راه دور ارسال کند. Astaroth اولین بار در سال ۲۰۱۸ شناسایی شد. همچنین تکنیک استفاده شده در این تروجان در سه سال گذشته مورد توجه توسعه‌دهندگان بدافزارها قرار گرفته‌است. افزایش استفاده از تکنیک‌های مخفی مانند اجرای بدون فایل، توسعه راهکارهای ضدویروس را از حالت سنتی شناسایی امضای فایل به رویکرد مبتنی بر رفتار تغییر می‌دهد.
مرجع : مرکز مدیریت راهبردی افتا