近日,微软在Windows遭到恶意软件攻击后发布了红色警报。这个“恶棍”是一种名为 Astaroth 的无文件恶意软件。此前,TipsMake.com 曾讨论过无文件恶意软件,因此如果您不确定该概念的含义,请花点时间阅读本文。从本质上讲,无文件恶意软件存在于计算机的 RAM 中,而不是文件系统中,这使得检测更加困难。
让我们探索一下为什么微软会发布关于 Astaroth 的警告,以及您应该如何保护自己。
Astaroth 是如何传播的?
Astaroth 使用 .LNK 文件传播 . 该文件上传到网站,然后链接到该网站通过电子邮件发送。
如果有人点击链接,这个.LNK 文件将被激活并在Windows 中运行。之后,一些指令将被发送到 Management Instrumentation Command-line 工具 (WMIC) 。这是Windows本身的官方程序,因此在执行过程中避免了杀毒软件。
Astaroth 然后利用他的伪装,躲在 WMIC 后面,强迫它下载并运行 Astaroth 完成工作所需的所有程序。一旦恶意软件完全组装,攻击就会按计划进行。
Astaroth 利用 Windows 用来执行其工作的所有合法系统工具。因此,它使防病毒程序更难检测,因为攻击使用 Windows 进程来对抗自身。这就是为什么它被称为无文件攻击(不需要文件),因为没有下载和存储外部文件。
这种攻击方法也属于一个更大的子组,称为'Living-off-the-Land'攻击。从技术上讲,这不是作为系统的任何新代理引入的。它只是使用可用于下载和执行有效负载的内容。
Astaroth 采取什么行动?
Astaroth 的主要目标是收集尽可能多的信息。它通过几个攻击媒介来做到这一点。键盘记录器跟踪用户键入的所有内容,同时扫描剪贴板以查找敏感信息。 Astaroth 还将强制应用程序披露有关自己的信息。
这通常是当今大多数恶意软件的工作方式。病毒和恶意软件已将其关注点从破坏性转移到收集数据或为创建它们的人赚钱。 Astaroth 就是一个很好的例子,因为它不安装文件,而且许多检测病毒的方法都无法检测到它。
如何避免来自Astaroth的攻击?
幸运的是,虽然这种策略使得杀毒软件很难追上攻击,但初始向量实际上很容易用肉眼检测到。始终小心您在电子邮件中单击的链接,尤其是您从未听说过的人发送的链接。
无文件恶意软件的狡猾特性使其成为严重威胁,即使对于那些安装了防病毒软件的人也是如此。最新的 Astaroth 浪潮显示了恶意软件可能造成的破坏程度。现在您已经了解了 Astaroth 是什么、它能做什么以及如何避免这种恶意软件感染。
Fileless 恶意软件会让您紧张吗?在下面的评论部分与大家分享想法!
评论