首页 > 科技

微软正在对抗 Windows 僵尸攻击

2019-10-02 00:46:24
 

来自微软防御高级威胁防护(ATP)研究小组的研究人员证实,一种复杂的僵尸威胁已经瞄准了 Windows 用户。 就像之前的地狱公爵一样,诺德索克攻击采用了一种活生生的二元文件“ LOLBin”方法,通过隐藏在显而易见的地方来逃避侦查。 Nodersok 之所以特别有趣,也可能更加危险,是因为它将这些来自机器本身的 lolbin 与它下载的第三方 lolbin 组合在一起。 没有恶意的可执行文件被写入磁盘,并且一次成功的攻击尝试禁用 Windows 更新和 Windows Defender。 成千上万的美国和欧洲消费者已经成为这次 Windows 僵尸攻击的目标。 组织也成为了僵尸攻击的目标,包括教育、金融、医疗保健和零售业在内的行业都受到了影响。

关于 Windows Nodersok 僵尸攻击,我们知道些什么?

据微软防御者高级威胁防护(ATP)研究小组成员安德里亚 · 莱利(Andrea Lelli)说,诺德索克已经活跃了几个星期,已经攻击了“数千台机器” ,大部分分布在美国和欧洲。 微软安全研究人员在7月中旬首次发现了这一威胁活动,这得益于微软 Defender ATP 遥测技术发现的异常使用趋势。 9月初,人们注意到了额外的异常现象,并记录到 Nodersok 活动增加了10倍。

就像七月份地狱公爵 Windows 攻击的恶意软件 Astaroth 一样,诺德索克使用合法的二进制文件,试图通过隐藏在目标机器的显眼位置来隐藏自己。 这些现存的二进制文件,被称为 lolbin,例如 powershell.exe,在 Windows 进程执行时将威胁活动合法化。

诺德索克僵尸攻击感染链

在 Nodersok 的案例中,感染链通过传播恶意广告或网络钓鱼邮件,导致受害者的电脑下载一个 HTML 应用程序(HTA)文件。 该文件包含 JavaScript 代码,然后启动另一个 JavaScript 文件的下载以启动 PowerShell 命令。 然后,PowerShell 下载并执行一系列加密组件,试图禁用 Windows Update、禁用 Windows Defender、提升权限、下载合法的第三方二进制程序以运行数据包过滤引擎(WinDivert)和 JavaScript 开发工具(Node.js) ,最后将这个已经被破坏的设备变成一个“僵尸”代理。 然后,这个僵尸机器可以被远程威胁参与者控制,作为犯罪网络基础设施的中继器使用,其中包括其他僵尸机器,并进一步模糊了非法活动。