DLL-Malware-Angriff "Great Duke Of Hell" deckt bösartige Astaroth-Bedrohung durch dateilose Malware auf

Microsoft hat kürzlich den Schleier gelüftet , wie eine sehr unangenehme, fileless Malware Daten stiehlt, ohne dass sie jemals auf dem Computer eines Opfers installiert werden muss - Astaroth .

Benannt nach einem gleichnamigen Dämon aus den okkulten Büchern Ars Goetia und The Key of Solomon, der seine Opfer durch Eitelkeit und Faulheit verführen soll, ist diese Malware seit 2017 im Umlauf Stehlen Sie Daten von südamerikanischen und europäischen Unternehmen bei gezielten Angriffen, bei denen Spear-Phishing als Einstiegspunkt verwendet wurde.

Laut Andrea Lelli, einer Forscherin von Microsoft Defender APT, ist diese spezifische Infektion einzigartig, da sie in der Lage ist, unter den Erkennungsmethoden einiger herkömmlicher Antivirenprogramme heimlich zu infiltrieren.

Laut Lelli ist Astaroth für den Diebstahl persönlicher Anmeldeinformationen, Keylogging und anderer Daten, die dann auf einen Remote-Server übertragen werden, berüchtigt. Die Angreifer verwenden die Daten dann für Finanzdiebstahl, verkaufen persönliche Informationen an andere Kriminelle oder bewegen sich sogar seitlich über Netzwerke.

Wie Astaroth Systeme infiziert

Der Angriff beginnt normalerweise, wenn ein Opfer einen Link in E-Mails öffnet, die mit Blick auf Spear-Phishing erstellt wurden - ein Social-Engineering-Tool, das die Angreifer im Rahmen ihrer Operationen verwenden. Diese Art von Betrug zielt darauf ab, den Link zu öffnen, der eine Verknüpfungsdatei zu Terminalbefehlen öffnet, mit denen der JavaScript-Code heruntergeladen und ausgeführt wird, der die Infektion ermöglicht. Das Skript lädt zwei DLL-Dateien herunter und führt sie aus, die das Protokollieren und Hochladen der gesammelten Informationen übernehmen, während sie sich als legitime Systemprozesse ausgeben.

Das Verfahren funktioniert gut bei signaturbasierten Erkennungstools, da nur die DLL-Dateien heruntergeladen oder installiert werden. Dadurch besteht nur eine geringe Chance, den Angriff zu scannen und abzufangen. Dieser Ansatz ermöglichte es Astaroth, seit den späten Tagen des Jahres 2017 unter dem Radar zu fliegen und online erfolgreich zu sein, ohne sich auf Trojaner-Downloader oder Schwachstellen-Exploits verlassen zu müssen.

Fileless Malware-Erkennungsmaßnahmen

Laut Lelli haben die herkömmlichen dateizentrierten Antivirenlösungen nur eine Chance, den Angriff zu erkennen - während des Herunterladens der beiden DLL-Dateien, da die bei dem Angriff verwendete ausführbare Datei als nicht böswillig eingestuft wird. Die DLLs verwenden Code-Verschleierung und variieren zwischen den Kampagnen, was bedeutet, dass es "eine teuflische Falle" wäre, sich auf die Erkennung dieser beiden zu konzentrieren, fügte Lelli hinzu.

Microsoft und andere Anbieter mussten sich auf heuristische Erkennungstools verlassen, z. B. diejenigen, die genau auf die Verwendung von WMIC-Befehlszeilencode achten und die Regeln anwenden, wenn DLL-Dateien geladen werden. Durch das Überprüfen des Alters der Datei, das Blockieren der Ausführung neu erstellter DLLs und ähnliche Taktiken können neuere Sicherheitstools auf dateilose Malware zugreifen.