بدافزار Astaroth که از ابزارهای قانونی ویندوز برای انتشار بدافزار استفاده میکند با ترفندهای مخفیانهتری در حال گسترش است.
بازگشت بدافزار Astaroth با ترفندهای مخفیانهتر
مرکز مدیریت راهبردی افتا , 16 فروردين 1399 ساعت 10:58
بدافزار Astaroth که از ابزارهای قانونی ویندوز برای انتشار بدافزار استفاده میکند با ترفندهای مخفیانهتری در حال گسترش است.
بدافزار Astaroth که از ابزارهای قانونی ویندوز برای انتشار بدافزار استفاده میکند با ترفندهای مخفیانهتری در حال گسترش است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، گروه Astaroth که معروف به استفاده از ابزارهای قانونی ویندوز برای انتشار بدافزار است، پس از گزارش مایکروسافت در جولای گذشته، بار دیگر فعالیت خود را گسترش داد. این گروه در ماه فوریه فعالیتهای خود را این بار با ابزارهای مخفیانهتر تشدید کردهاست.
سال گذشته تیم ATP Windows Defender افزایش شدیدی در استفاده از ابزار WMIC در ویندوز را شناسایی کرد. تحقیقات مایکروسافت یک عملیات گسترده ارسال هرزنامه حاوی یک لینک به وبسایت میزبان یک فایل میانبر LNK را کشف کرد که دریافتکننده این ایمیل در صورت اجرای فایل آن، باعث اجرای ابزار WMIC و چندین ابزار دیگر ویندوز میشود. این امر درنهایت منجر به دانلود و اجرای بدون فایل (fileless) بدافزار در حافظه میشود.
تیم تحقیقاتی Microsoft Defender ATP اکنون متوجه شدهاست که گروه Astaroth بهطور کامل از استفاده از ابزار WMIC و تکنیکهای مرتبط پرهیز میکند تا راهکارهای شناسایی موجود را دور بزند.
عملیات گروه Astaroth همچنان نیز با ارسال هرزنامههای حاوی لینک به فایل LNK آغاز میشود، اما در عملیات جدید، این گروه از جریان داده جایگزین یا Alternate Data Streams (ADS) برای مخفی کردن payloadهای مخرب استفاده میکند. برای بارگیری payload مخرب، مهاجمان از فرایند قانونی ExtExport.exe سوءاستفاده کردند که یک بردار حمله بسیار غیرمعمول است.
استفاده از ADS باعث میشود تا جریان داده در File Explorer ویندوز مخفی باقی بماند، درنتیجه مهاجم میتواند گذرواژههای ایمیل و مرورگرها و همچنین غیرفعال کردن نرمافزارهای امنیتی را بطور مخفیانه انجام دهد.
ابزار قانونی دیگری که این گروه از آن سوءاستفاده میکند، ابزار BITSAdmin است. BITSAdmin یک ابزار خط فرمان برای ایجاد فعالیتهای بارگیری یا بارگذاری و نظارت بر پیشرفت آنها است. در این حالت، از آن برای بارگیری payloadهای رمزگذاری شده از یک سرور فرمان و کنترل استفاده میشود.
فرایند کلی آلودگی توسط این بدافزار در تصویر زیر قابل مشاهده است:
کد مطلب: 16481