小心微软发现Astaroth无文件恶意软件攻击激增

Astaroath恶意软件特洛伊木马至少从2017年开始流行，旨在窃取用户的敏感信息，如其凭据、击键和其他数据，而不会在磁盘上删除任何可执行文件或在受害者的机器上安装任何软件。

Astaroath最初是在今年2月由Cybereason的研究人员发现的，他靠将有效载荷直接运行到目标计算机的内存中，或利用合法的系统工具（如WMIC、Certutil、Bitsadmin和Regsvr32）来运行恶意代码来过日子。

在查看Windows遥测数据时，微软Defender ATP研究团队的研究员安德里亚·莱利（Andrea Lelli）最近发现管理仪表命令行（WMIC）工具的使用突然出现异常峰值，导致无文件攻击的披露。

进一步调查显示，此次活动背后的攻击者正在通过带有指向LNK快捷方式文件所在网站的恶意链接的spear钓鱼电子邮件传播多级Astaroth恶意软件。

点击快捷方式文件会执行Windows内置的WMIC工具，该工具下载并执行JavaScript代码，这会进一步滥用Bitsadmin工具下载所有其他恶意有效载荷，这些恶意载荷实际上执行窃取和上传受害者数据的恶意任务，同时伪装成一个系统进程。

研究人员在周一发布的一篇博文中说：“所有的有效载荷都是使用Certutil工具进行Base64编码和解码的。其中两个会生成普通的DLL文件（其他仍然是加密的）。”。

“然后使用Regsvr32工具加载其中一个解码的DLL，然后解密并加载其他文件，直到最后的有效负载Astaroth被注入Userinit进程。”

这意味着恶意软件不依赖任何漏洞攻击或传统特洛伊木马下载程序在目标系统上下载任何内容。相反，它在整个攻击链中完全依赖系统工具和命令来伪装成常规活动。
这种技术被称为“远离陆地生活”，可以让恶意软件逃避大多数基于静态文件分析的端点防病毒安全解决方案的检测。

在上述攻击链中演示了在目标设备上静默安装Astaroth恶意软件的初始访问和执行阶段。

一旦进入目标系统，Astaroth就会试图窃取凭据、击键和其他数据等敏感信息，并将其发送到攻击者控制的远程服务器。

研究人员说，攻击者可以利用这些被盗数据尝试“在网络上横向移动，进行金融盗窃，或在地下网络犯罪中出售受害者信息”。

微软表示，其Defender ATP下一代防护的各种功能可以在每个感染阶段检测到此类无文件恶意软件攻击，而其他以文件为中心的安全解决方案无法保护其客户。

Andrea说：“没有文件并不意味着看不见，当然也不意味着不被发现。没有完美的网络犯罪：即使没有文件的恶意软件也会留下很长的证据。”