Nul
Forskere har afsløret et nyt angreb kæde, der udnytter er lidet kendt Microsoft Windows-værktøjer og uskadelig software til at flyve under radaren, i forsøget på at stjæle data.
Ifølge Symantec, nye malware-kampagne er et godt eksempel på, hvad selskabet kalder “levende ud af landet.”
Med andre ord, angribere er nu henvender sig til de ressourcer, der allerede findes på mål maskiner-herunder legitime værktøjer og processer-samt køre simple scripts og shellcode i hukommelsen og udføre fileless angreb.
Ved at fokusere mere på hjemmelavede software og mindre på at indføre udenlandske malware i mål-systemer, trussel aktører kan forblive uopdaget i længere tid og minimere risikoen for at blive udsat for.
Et nyt angreb kæde tager denne teknik til hjertet.
Symantec har bemærket kampagnen, som for nylig er blevet opdaget, benytter sig af et værktøj, der findes på alle Microsoft Windows maskiner, der kaldes Windows Management Instrumentation Kommando-linje (WMIC) utility.
Dette legitim proces giver en kommando-line interface for Windows Management Interface (WMI). WMI bruges til administrative opgaver på både lokale og eksterne systemer, og kan bruges til at forespørge system, indstillinger, kontrol processer, og udføre scripts.
TechRepublic: Hvordan til at blokere ad bane fra at følge dig på Firefox
Sammen med eXtensible Stylesheet Language (XSL) filer, de to tilsammen bliver udnyttet som en del af en multi-fase-infektion kæde til at stjæle oplysninger fra skjulte Windows-maskiner.
Angrebet kæden begynder med en phishing-kampagne, der indeholder en genvej link, der leveres via en URL. Hvis et offer, klik på ondsindet link, genvej-fil-som indeholder en WMIC kommando — henter en ondsindet XSL-fil fra en ekstern server.
XSL-fil, der indeholder JavaScript, som er udført ved brug af mshta.exe en legitim Windows-proces, der anvendes til at køre Microsoft HTML-Program Vært.
CNET: OS og intelligens allierede tage sigte på tech virksomheder i løbet af kryptering
JavaScript, men er ikke så uskyldig. Alt i alt, JavaScript indeholder en liste over 52 domæner, der anvendes til at tilfældigt at generere et domæne og portnummer for at hente HTML-Program (MTV) filer og tre Dll-filer, som derefter er registreret til regsvr32.exe samt de vigtigste nyttelast.
Ekstra moduler er derefter downloades, hvilket fører til kompromittering af ofrets PC.
Nyttelasten indeholder en række moduler egnet for tyveri af information, herunder MailPassview værktøj til e-mail password fange; WebBrowser Passview software til høst web browser legitimationsoplysninger, der er en keylogger, bagdør for persistens, og en fil-browser til visning og exfiltrating filer.
“Brug af WMI af it-kriminelle, er ikke ny, men er det værktøj, der typisk bruges til formering, men i dette tilfælde bruges til at hente en skadelig fil,” Symantec siger. “Brug af WMIC er til gavn for de angribere, da det hjælper dem til at forblive ubemærkede og også giver dem et effektivt redskab til at støtte dem i deres aktiviteter.”
Sammenligninger kan drages mellem WMI og PowerShell, en anden legitim service, som er, at der til stadighed er målrettet trussel aktører, der søger at gå på kompromis Windows-maskiner.
Se også: Android ‘API bryde’ sårbarhed utætheder enhed data, giver brugeren mulighed for sporing
I januar, forskere fra FireEye sagde sårbarheder udnyttes på Microsoft Office til at sprede info-stjæle malware, som også kan cryptocurrency minedrift og iværksætte lammelsesangreb (denial-of-service (DDoS) angreb.
Sårbarheder udnyttes gennem kampagnen brug PowerShell til at slippe malware nyttelast i sårbare systemer.
Tidligere og relaterede dækning
Bitfi endelig giver op påstand cryptocurrency tegnebog er unhackable Ulykke Cookie sårbarhed returnerer til at påvirke medicinsk udstyr, der Tidligere Qualys exec sigtet for insiderhandel efter at beskytte brødre fra finansielle tab
Relaterede Emner:
Microsoft
Sikkerhed-TV
Data Management
CXO
Datacentre
0