Cloudflare Workers,讓開發人員能以採用新的方式在Cloudflare全球網路的邊緣直接部署和執行程式碼,而無需擔心基礎設施維護,深受開發人員喜愛。
然而,近日一個新的惡意攻擊活動透過濫用Cloudflare Workers無伺服器計算平臺來擴散Astaroth木馬變種,來繞過防毒軟體檢測並阻止其自動分析。
感染的三階段
第一階段:釣魚郵件
Cloudflare Worker是Astaroth 木馬三階段感染過程的一部分。首先,該木馬先傳送一封帶有HTML附件的釣魚電子郵件,其中包含模糊的JavaScript程式碼,並連結到位於Cloudflare基礎架構後面的域。
此域根據目標的位置以JSON格式提供多種型別的有效負載,以允許攻擊者快速更改針對各種目標的惡意檔案,並避免防毒軟體阻止。
第二階段:Cloudflare Workers負載有效負載
從URL解析JSON到Base64轉換為Array緩衝區即可生成第二階段的攻擊。JSON將被寫入瀏覽器的blob儲存,重新命名為匹配的HTML檔案的名稱,並建立一個連結並自動點選下載到使用者的瀏覽器。
此時儲存的有效負載是一個ZIP檔案,而目標檔案則重定向到一個包含Cloudflare Workers dashboard指令碼編輯器建立的指令碼內容的URL。
這裡最重要的是,用於載入指令碼預覽皮膚的URL可以使用隨機值進行更改,這可能會生成無限數量的主機名,從而執行特定程式碼,導致傳統的Anti-bot無法捕獲。
Cloudflare Workers指令碼編輯器
接下來,從Cloudflare Workers dashboard指令碼編輯器預覽URL並將指令碼儲存到受害者的計算機上,該URL使用Windows指令碼主機(Wscript)程式執行,並下載作為感染過程第三階段的一部分而丟棄的最終有效載荷。
Astaroth有效載荷將使用十個隨機且唯一的Cloudflare Worker節點連結下載,每個連結都有9億個可能的URL變體。
託管Astaroth有效負載的隨機URL
第三階段:獲取最終命令
第三階段使用DLL側載來中斷合法程式並載入惡意DLL,該DLL與攻擊者控制的YouTube和Facebook配置檔案通訊,以獲得伺服器的最終命令和控制。
從這個新的Astaroth變種感染的三個階段,可以看出,其使用Cloudflare Workers來:
- 擁有一個彈性、高效、安全的網路來傳播有效載荷。
- 依靠可信域名和服務來擴大覆蓋範圍。
- 隱藏沙箱並中斷自動分析工具。
- 為每次執行生成隨機有效負載URL的創新方法。
- 輕鬆重建操作,以防出現妥協。
不斷髮展的木馬
早在2018年,這種名為Astaroth的木馬就被發現是專門用來針對巴西進行惡意攻擊行動的一部分,大約8,000臺機器可能在一週的攻擊中受到攻擊。
Astaroth的危害很大,能夠藉助金鑰記錄器模組,透過作業系統呼叫擷取和使用剪貼簿監控來竊取敏感資訊,例如使用者憑證。
Multi-stage infection process (Microsoft)
此外,Astaroth也因濫用現成的二進位制檔案(LOLbins)而聞名,例如Windows管理儀表控制檯(WMIC)的命令介面,以便在受感染的計算機上秘密下載和安裝惡意的有效負載。
在今年2月份活動中,發現一個新的Astaroth變種,在Avast防毒軟體的aswrundll.exe Avast執行時的動態連結庫中注入惡意模組,這個模組後來被用來獲取受感染裝置的資訊,並載入額外的模組。
微軟後衛ATP研究小組還分析了5月和6月期間活躍的Astaroth活動,並發現它使用了一個多階段的感染過程來暗中感染目標系統。
*本文由看雪編輯 LYA 編譯自 Bleeping Computer,轉載請註明來源及作者。