Astaroth木馬新變種來了,可繞過防毒軟體檢測
Cloudflare Workers,讓開發人員能以採用新的方式在Cloudflare全球網路的邊緣直接部署和執行程式碼,而無需擔心基礎設施維護,深受開發人員喜愛。
第一階段:釣魚郵件
Cloudflare Worker是Astaroth 木馬三階段感染過程的一部分。首先,該木馬先傳送一封帶有HTML附件的釣魚電子郵件,其中包含模糊的JavaScript程式碼,並連結到位於Cloudflare基礎架構後面的域。
此域根據目標的位置以JSON格式提供多種型別的有效負載,以允許攻擊者快速更改針對各種目標的惡意檔案,並避免防毒軟體阻止。
從URL解析JSON到Base64轉換為Array緩衝區即可生成第二階段的攻擊。JSON將被寫入瀏覽器的blob儲存,重新命名為匹配的HTML檔案的名稱,並建立一個連結並自動點選下載到使用者的瀏覽器。
此時儲存的有效負載是一個ZIP檔案,而目標檔案則重定向到一個包含Cloudflare Workers dashboard指令碼編輯器建立的指令碼內容的URL。
這裡最重要的是,用於載入指令碼預覽皮膚的URL可以使用隨機值進行更改,這可能會生成無限數量的主機名,從而執行特定程式碼,導致傳統的Anti-bot無法捕獲。
Cloudflare Workers指令碼編輯器
接下來,從Cloudflare Workers dashboard指令碼編輯器預覽URL並將指令碼儲存到受害者的計算機上,該URL使用Windows指令碼主機(Wscript)程式執行,並下載作為感染過程第三階段的一部分而丟棄的最終有效載荷。
託管Astaroth有效負載的隨機URL
從這個新的Astaroth變種感染的三個階段,可以看出,其使用Cloudflare Workers來:
Astaroth的危害很大,能夠藉助金鑰記錄器模組,通過作業系統呼叫擷取和使用剪貼簿監控來竊取敏感資訊,例如使用者憑證。
此外,Astaroth也因濫用現成的二進位制檔案(LOLbins)而聞名,例如Windows管理儀表控制檯(WMIC)的命令介面,以便在受感染的計算機上祕密下載和安裝惡意的有效負載。
在今年2月份活動中,發現一個新的Astaroth變種,在Avast防毒軟體的aswrundll.exe Avast執行時的動態連結庫中注入惡意模組,這個模組後來被用來獲取受感染裝置的資訊,並載入額外的模組。
微軟後衛ATP研究小組還分析了5月和6月期間活躍的Astaroth活動,並發現它使用了一個多階段的感染過程來暗中感染目標系統。
*本文由看雪編輯 LYA 編譯自 Bleeping Computer,轉載請註明來源及作者。
然而,近日一個新的惡意攻擊活動通過濫用Cloudflare Workers無伺服器計算平臺來擴散Astaroth木馬變種,來繞過防毒軟體檢測並阻止其自動分析。
感染的三階段
第一階段:釣魚郵件
Cloudflare Worker是Astaroth 木馬三階段感染過程的一部分。首先,該木馬先傳送一封帶有HTML附件的釣魚電子郵件,其中包含模糊的JavaScript程式碼,並連結到位於Cloudflare基礎架構後面的域。
此域根據目標的位置以JSON格式提供多種型別的有效負載,以允許攻擊者快速更改針對各種目標的惡意檔案,並避免防毒軟體阻止。
第二階段:Cloudflare Workers負載有效負載
從URL解析JSON到Base64轉換為Array緩衝區即可生成第二階段的攻擊。JSON將被寫入瀏覽器的blob儲存,重新命名為匹配的HTML檔案的名稱,並建立一個連結並自動點選下載到使用者的瀏覽器。
此時儲存的有效負載是一個ZIP檔案,而目標檔案則重定向到一個包含Cloudflare Workers dashboard指令碼編輯器建立的指令碼內容的URL。
這裡最重要的是,用於載入指令碼預覽皮膚的URL可以使用隨機值進行更改,這可能會生成無限數量的主機名,從而執行特定程式碼,導致傳統的Anti-bot無法捕獲。
Cloudflare Workers指令碼編輯器Astaroth有效載荷將使用十個隨機且唯一的Cloudflare Worker節點連結下載,每個連結都有9億個可能的URL變體。
託管Astaroth有效負載的隨機URL
第三階段:獲取最終命令
從這個新的Astaroth變種感染的三個階段,可以看出,其使用Cloudflare Workers來:
- 擁有一個彈性、高效、安全的網路來傳播有效載荷。
- 依靠可信域名和服務來擴大覆蓋範圍。
- 隱藏沙箱並中斷自動分析工具。
- 為每次執行生成隨機有效負載URL的創新方法。
- 輕鬆重建操作,以防出現妥協。
不斷髮展的木馬
Astaroth的危害很大,能夠藉助金鑰記錄器模組,通過作業系統呼叫擷取和使用剪貼簿監控來竊取敏感資訊,例如使用者憑證。
Multi-stage infection process (Microsoft)
此外,Astaroth也因濫用現成的二進位制檔案(LOLbins)而聞名,例如Windows管理儀表控制檯(WMIC)的命令介面,以便在受感染的計算機上祕密下載和安裝惡意的有效負載。
在今年2月份活動中,發現一個新的Astaroth變種,在Avast防毒軟體的aswrundll.exe Avast執行時的動態連結庫中注入惡意模組,這個模組後來被用來獲取受感染裝置的資訊,並載入額外的模組。
微軟後衛ATP研究小組還分析了5月和6月期間活躍的Astaroth活動,並發現它使用了一個多階段的感染過程來暗中感染目標系統。
*本文由看雪編輯 LYA 編譯自 Bleeping Computer,轉載請註明來源及作者。
相關文章
- Conficker病毒新變種捲土重來可關閉防毒軟體防毒
- 警惕:利用防毒軟體 更狡猾的木馬(轉)防毒
- 怪木馬自帶防毒軟體 能使卡巴斯基過期(轉)防毒
- Dridex木馬新變種來襲,小心來歷不明的郵件!IDE
- 是防毒軟體”失職“還是惡意軟體太”狡猾“?惡意軟體可繞過Android防護系統防毒Android
- 木馬新變種Flashback.B入侵Mac OS X升級Mac
- 如何透過埠來判斷電腦感染何種木馬
- CCTV:未知木馬防不勝防 主動防禦是防毒軟體發展方向防毒
- 木馬下載器新變種出現秘密截獲系統資訊
- 安卓手機木馬出現新變種,可禁用指紋、人臉識別以竊取密碼安卓密碼
- 黑狐木馬最新變種——“肥兔”詳細分析
- 色情捆綁木馬:起底軟體下載三大新陷阱
- 病毒“死神下載器”來了 破壞防毒軟體下病毒防毒
- iexpress全力打造“免檢”木馬Express
- “防毒軟體已死”言過其實防毒
- 中轉Webshell繞過流量檢測防護Webshell
- 檔案上傳——客戶端檢測繞過(JavaScript檢測)(一)客戶端JavaScript
- 11種方法檢測軟體可靠性
- 軟體測試學習教程——過載new或delete來檢測記憶體洩漏delete記憶體
- 換了馬甲也能認出“你” | 有了這個資料集,AI有望揪出變種勒索軟體AI
- 網管軟體禁止網購木馬偷樑換柱
- 網站漏洞檢測解析繞過上傳漏洞網站
- 百款防毒軟體測試:病毒樣本的處理過程(轉)防毒
- 木馬各種隱藏技術披露(也許你看到過)(轉)
- 趨勢科技發現古巴勒索軟體新變種
- 防毒軟體要慎用!分享防毒軟體的幾個誤區防毒
- 微軟防毒軟體Forefront技術不過關微軟防毒
- "一句話"的藝術——簡單的編碼和變形繞過檢測
- [原創]流行防毒軟體對惡意PDF文件檢測的概括性分析防毒
- oracle windows 防毒軟體OracleWindows防毒
- Linux終端注意了!隱蔽性更強的後門木馬Rmgr來了Linux
- 木馬蠕蟲變種走後門 會盜取網遊密碼(轉)密碼
- 軟體為什麼要進行安全測試?可做安全測試的軟體檢測公司安利
- 軟體效能測試有哪些效能指標?可做效能測試的軟體檢測機構安利指標
- 新的AdLoad惡意軟體變種可以透過蘋果的XProtect防禦蘋果
- 新iPhone漏洞,可繞過密碼訪問聯絡人和照片iPhone密碼
- 日常“列印軟體”竟然暗藏遠控木馬,白領小心中招!
- 環繞中介軟體