自從今年7月Astaroth Fileless無檔案攻擊行動被公開後,微軟再披露新一波Nodersok無檔案攻擊,駭客同樣利用合法工具展開攻擊,目的是將受害系統變成代理人以執行點擊詐騙,估計全球已有數千台Windows電腦遭到惡意軟體攻擊。
在微軟的報告中,將這種惡意軟件稱為「Nodersok」,在Cisco(思科,美國IT網通設備商)的報告中,將其稱為「Divergent」,「Nodersok」惡意軟體最初在今年夏天被發現,它通過惡意廣告進行分發,強制將HTA(HTML應用程序)文件下載到用 戶的電腦上,一旦運行了這個軟件,用戶的電腦就會進行一個涉及Excel、JavaScript及 PowerShell腳本的多階段感染過程,該過程最終下載並安裝Nodersok惡意軟體。
惡意軟體本身具有多個組件,每個組件都有其自己的角色。有一個PowerShell模組試圖禁用Windows Defender及 Windows Update,還有一個用於將惡意軟體的權限提升到SYSTEM級別的組件。
但其中也有兩個被認為是合法的應用組體,即WinDivert及Node.js:
第一個WinDivert是用於捕獲網絡數據包並與之交互的應用程式。
第二個Node.js是用於在Web伺服器上運行JavaScript的著名開發人員工具。
根據微軟及思科的報告,該惡意軟體使用這兩個合法應用組件在受感染的主機上啟動SOCKS代理。但是這裡有一個分歧,微軟聲稱該惡意軟體將受感染的主機轉變為代理,以中繼惡意流量。但思科表示這些代理用於執行點擊欺詐。
為了防止被感染,建議大家不要運行在電腦上找到的任何HTA文件,尤其是在不知道文件確切來源的情況下。根據 微軟的遙測技術,Nodersok惡意軟體已在過去幾週成功感染了數千台機器。微軟表示大多數的感染於這個月發生,主要是在美國和歐盟地區傳播。
來源
謝謝收看
留言列表
