مایکروسافت از کشف عملیات انتشار تروجان Astaroth خبر داد که شناسایی آن توسط راهکارهای ضدویروس سنتی دشوار است.
۰
مایکروسافت هشدار داد
شناسایی تروجان Astaroth دشوار است
منبع : مرکز مدیریت راهبردی افتا
مایکروسافت از کشف عملیات انتشار تروجان Astaroth خبر داد که شناسایی آن توسط راهکارهای ضدویروس سنتی دشوار است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، تیم امنیت مایکروسافت به تازگی هشداری را درباره یک عملیات انتشار بدافزار Astaroth منتشر کردهاست. در حمله انجام شده تروجان Astaroth در یک فرایند اجرای بدون فایل (fileless) منتقل شدهاست که شناسایی آن توسط راهکارهای ضدویروس سنتی به سختی انجام میشود.
این حملات توسط تیم نرمافزار ضدویروس ویندوز به نام Windows Defender ATP شناسایی شده است. حملات زمانی نمایان شدند که میزان استفاده از ابزار خط فرمان مدیریتی ویندوز (WMIC) بهطور ناگهانی افزایش یافت. این ابزار قانونی در تمامی نسخههای مدرن ویندوز وجود دارد، اما افزایش ناگهانی در استفاده از آن بیانگر یک الگوی خاص حمله بدافزاری است.
در این حملات سایبری یک عملیات اسپم گسترده مشاهده شد که در ایمیلهای ارسالی یک لینک به یک فایل میانبر LNK وجود داشت. زمانی که کاربر این فایل را دانلود و اجرا کند، ابزار WMIC اجرا خواهد شد و سپس دامنه گستردهای از ابزارهای قانونی ویندوز، یکی پس از دیگری اجرا میشوند. این ابزارها کدهای اضافی را اجرا میکنند و خروجی یک ابزار به ابزار دیگر منتقل میشود که هر فرایند به تنهایی در حافظه و بدون ذخیرهسازی هیچ فایلی انجام میشود. به این فرایند، اجرای بدون فایل گفته میشود که این کار شناسایی بدافزار توسط راهکارهای امنیتی سنتی را مشکل میکند، زیرا هیچ فایلی در سیستم وجود ندارد که مورد اسکن ضدویروس قرار گیرد.
در انتهای فرایند آلودهسازی، تروجان Astaroth دانلود و اجرا میشود. این تروجان یک سارق اطلاعات شناخته شده است که میتواند اطلاعات احرازهویت تعداد زیادی از برنامهها را دریافت و به یک سرور راه دور ارسال کند. Astaroth اولین بار در سال ۲۰۱۸ شناسایی شد. همچنین تکنیک استفاده شده در این تروجان در سه سال گذشته مورد توجه توسعهدهندگان بدافزارها قرار گرفتهاست. افزایش استفاده از تکنیکهای مخفی مانند اجرای بدون فایل، توسعه راهکارهای ضدویروس را از حالت سنتی شناسایی امضای فایل به رویکرد مبتنی بر رفتار تغییر میدهد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، تیم امنیت مایکروسافت به تازگی هشداری را درباره یک عملیات انتشار بدافزار Astaroth منتشر کردهاست. در حمله انجام شده تروجان Astaroth در یک فرایند اجرای بدون فایل (fileless) منتقل شدهاست که شناسایی آن توسط راهکارهای ضدویروس سنتی به سختی انجام میشود.
این حملات توسط تیم نرمافزار ضدویروس ویندوز به نام Windows Defender ATP شناسایی شده است. حملات زمانی نمایان شدند که میزان استفاده از ابزار خط فرمان مدیریتی ویندوز (WMIC) بهطور ناگهانی افزایش یافت. این ابزار قانونی در تمامی نسخههای مدرن ویندوز وجود دارد، اما افزایش ناگهانی در استفاده از آن بیانگر یک الگوی خاص حمله بدافزاری است.
در این حملات سایبری یک عملیات اسپم گسترده مشاهده شد که در ایمیلهای ارسالی یک لینک به یک فایل میانبر LNK وجود داشت. زمانی که کاربر این فایل را دانلود و اجرا کند، ابزار WMIC اجرا خواهد شد و سپس دامنه گستردهای از ابزارهای قانونی ویندوز، یکی پس از دیگری اجرا میشوند. این ابزارها کدهای اضافی را اجرا میکنند و خروجی یک ابزار به ابزار دیگر منتقل میشود که هر فرایند به تنهایی در حافظه و بدون ذخیرهسازی هیچ فایلی انجام میشود. به این فرایند، اجرای بدون فایل گفته میشود که این کار شناسایی بدافزار توسط راهکارهای امنیتی سنتی را مشکل میکند، زیرا هیچ فایلی در سیستم وجود ندارد که مورد اسکن ضدویروس قرار گیرد.
در انتهای فرایند آلودهسازی، تروجان Astaroth دانلود و اجرا میشود. این تروجان یک سارق اطلاعات شناخته شده است که میتواند اطلاعات احرازهویت تعداد زیادی از برنامهها را دریافت و به یک سرور راه دور ارسال کند. Astaroth اولین بار در سال ۲۰۱۸ شناسایی شد. همچنین تکنیک استفاده شده در این تروجان در سه سال گذشته مورد توجه توسعهدهندگان بدافزارها قرار گرفتهاست. افزایش استفاده از تکنیکهای مخفی مانند اجرای بدون فایل، توسعه راهکارهای ضدویروس را از حالت سنتی شناسایی امضای فایل به رویکرد مبتنی بر رفتار تغییر میدهد.
کد مطلب : 15541
https://aftana.ir/vdcfytdy.w6dtjagiiw.htmlaftana.ir/vdcfytdy.w6dtjagiiw.html
آخرین عناوین
پربيننده ترين
۱
۲
۳
۴
۵