Astaroth, trojský kůň specializovaný na krádež citlivých informací, byl objeven minulý rok a až dosud se z něj stal špičkový tajný malware, který diverzifikoval svoji ochranu před kontrolami, aby zabránil bezpečnostním vědcům v jejich detekci a zastavení.
V loňském roce společnost Microsoft oznámila objev mnoha probíhajících malwarových kampaní týmem Windows Defender ATP. Tyto kampaně distribuovaly malware Astaroth bez souborů, což ho činí ještě nebezpečnějším.
Když už mluvíme o malwarových kampaních, můžete je pomocí těchto antimalwarových nástrojů ukolébat.
Takto popsal útoky výzkumník Microsoft Defender ATP:
Dělal jsem standardní revizi telemetrie, když jsem si všiml anomálie z detekčního algoritmu navrženého k zachycení konkrétní techniky bez souborů. Telemetrie ukázala prudký nárůst používání nástroje Windows Management Instrumentation Command-line (WMIC) ke spuštění skriptu (technika, kterou MITER označuje jako XSL Script Processing), což naznačuje útok bez souborů
Co je Astaroth dosud?
V nové zprávě společnost Cisco Talos říká, že Astaroth se při distribuci stále spoléhá na e-mailové kampaně, má provedení bez souborů a žije mimo zemi (LOLbins). Špatnou zprávou je, že také získal tři nové významné aktualizace uvedené ve zprávě Cisco Talos:
- Astaroth implementuje robustní řadu anti-analytických / únikových technik, mezi nejdůkladnější, jaké jsme v poslední době viděli.
- Astaroth účinně vyhýbá detekci a s přiměřenou jistotou zajišťuje, že se instaluje pouze na systémy v Brazílii, nikoli na pískoviště a výzkumné systémy.
- Nové použití kanálů YouTube pro C2 pomáhá vyhnout se detekci využitím běžně používané služby na běžně používaných portech.
Co je Astaroth a jak funguje?
Pokud jste to nevěděli, Astaroth je známý malware zaměřený na krádež citlivých informací, jako jsou pověření a další osobní údaje, a jejich odeslání zpět útočníkovi.
Ačkoli mnoho uživatelů systému Windows 10 má anti-malware nebo antivirový software, technika bez souborů ztěžuje detekci malwaru. Zde je schéma OP, jak útok funguje:
Velmi zajímavou věcí je, že do procesu útoku nejsou zahrnuty žádné soubory, kromě systémových nástrojů. Tato technika se nazývá žijící mimo zemi a obvykle se používá ke snadnému backdooru tradičních antivirových řešení.
Jak mohu chránit svůj systém před tímto útokem?
Nejprve se ujistěte, že je váš Windows 10 aktuální. Ujistěte se také, že je brána firewall systému Windows Defender funkční a má nejnovější aktualizace definic.
Nevystavujte se zbytečným rizikům. Zjistěte, proč je Windows Defender jedinou bariérou proti malwaru, kterou potřebujete!
Pokud jste uživatelem Office 365, budete rádi, že:
U této kampaně Astaroth detekuje Office 365 Advanced Protection Protection (Office 365ATP) e-maily se škodlivými odkazy, které spouštějí řetězec infekcí.
Naštěstí Astaroth cílí hlavně na Brazílii a e-maily, které budete dostávat, jsou v Portughese. Buďte však v patách.
Jako vždy, pokud potřebujete další návrhy nebo dotazy, přejděte do sekce komentáře níže.
Poznámka editora: Tento příspěvek byl původně publikován v červenci 2019 a od té doby byl přepracován a aktualizován v květnu 2020 kvůli aktuálnosti, přesnosti a komplexnosti.
- Kybernetická bezpečnost
- malware