Go Back
Microsoft แจ้งเตือนเกี่ยวกับ Malware ตัวใหม่นาม Astaroth
**ระวัง !! Microsoft แจ้งเตือนเกี่ยวกับ Malware ตัวใหม่นาม Astaroth**
Andrea Lelli ทีมรักษาความปลอดภัยของ Microsoft พบ Astaroth ซึ่งเป็น Fileless Malware โดยพบการใช้งานมาจากtools Windows Management Instrumentation Command-Line (WMIC) สำหรับ Fileless Malware นับว่าเป็นมัลแวร์ระดับ Advanced ที่ถูกออกแบบมาเพื่อหลบหลีกระบบตรวจจับความปลอดภัยแบบเดิมๆโดยอาศัยการส่ง Payload เข้าไปรันบนหน่วยความจำโดยตรง แล้วเริ่มทำงานจากในนั้นแทนโดยไม่มีคัดลอกไฟล์หรือสร้างโฟลเดอร์ใดๆ ลงบนฮาร์ดดิสก์ส่งผลให้การทำ Digital Forensics เพื่อค้นหาร่องรอยของมัลแวร์เป็นเรื่องยาก เพราะข้อมูลในหน่วยความจำจะหายไปเมื่อมีการรีสตาร์ทเครื่องมัลแวร์ Astaroth มีความสามารถในการขโมยข้อมูลที่ละเอียดอ่อน เช่น user credentials จากเป้าหมาย โดยใช้ key logger module , operating system calls interception และ clipboard monitoring Astaroth ใช้เทคนิคที่เรียกกว่า living-off-the-land binaries (LOLbins) เป็นการใช้เครื่องมือที่ได้รับการยืนยันว่าปลอดภัยที่มีอยู่ในระบบเพื่อปลอมตัว regular activity หลีกเลี่ยงการตรวจจับ ซึ่งเทคนิคนี้ได้รับความนิยมในช่วง 3 ปีที่ผ่านมาแคมเปญการแพร่กระจายมัลแวร์เริ่มขึ้นจากการส่ง spear-phishing email โดยมีลิงก์ที่เป็นอันตรายแนบมาด้วยหลังจากเป้าหมายคลิกเปิดไฟล์ลิงก์ที่แนบมา มันจะทำให้เครื่องมือ WMIC ด้วยพารามิเตอร์ “/Format” ซึ่งช่วยในการดาวน์โหลดและทำงานของ Javascript ในส่วนของการดาวน์โหลด paylaod จะใช้เครื่องมือ Bitsadmin ตัว payload จะเป็นแบบเข้ารหัส Base64 ทั้งหมดตัว Astaroth จะทำหน้าที่เป็น info - stealer สามารถถ่ายโอน credentials สำหรับแอพหลากหลายประเภทบนเครื่อง และอัพโหลดมันขึ้นไปยัง remote server
สำหรับ Fileless Malware นับว่าเป็นมัลแวร์ระดับ Advanced ที่ถูกออกแบบมาเพื่อหลบหลีกระบบตรวจจับความปลอดภัยแบบเดิมๆ โดยอาศัยการส่ง Payload เข้าไปรันบนหน่วยความจำโดยตรง แล้วเริ่มทำงานจากในนั้นแทนโดยไม่มีคัดลอกไฟล์หรือสร้างโฟลเดอร์ใดๆ ลงบนฮาร์ดดิสก์
ส่งผลให้การทำ Digital Forensics เพื่อค้นหาร่องรอยของมัลแวร์เป็นเรื่องยาก เพราะข้อมูลในหน่วยความจำจะหายไปเมื่อมีการรีสตาร์ทเครื่อง
มัลแวร์ Astaroth มีความสามารถในการขโมยข้อมูลที่ละเอียดอ่อน เช่น user credentials จากเป้าหมาย โดยใช้ key logger module , operating system calls interception และ clipboard monitoring Astaroth ใช้เทคนิคที่เรียกกว่า living-off-the-land binaries (LOLbins) เป็นการใช้เครื่องมือที่ได้รับการยืนยันว่าปลอดภัยที่มีอยู่ในระบบเพื่อปลอมตัว regular activity หลีกเลี่ยงการตรวจจับ ซึ่งเทคนิคนี้ได้รับความนิยมในช่วง 3 ปีที่ผ่านมา
แคมเปญการแพร่กระจายมัลแวร์เริ่มขึ้นจากการส่ง spear-phishing email โดยมีลิงก์ที่เป็นอันตรายแนบมาด้วย
หลังจากเป้าหมายคลิกเปิดไฟล์ลิงก์ที่แนบมา มันจะทำให้เครื่องมือ WMIC ด้วยพารามิเตอร์ “/Format” ซึ่งช่วยในการดาวน์โหลดและทำงานของ Javascript ในส่วนของการดาวน์โหลด paylaod จะใช้เครื่องมือ Bitsadmin ตัว payload จะเป็นแบบเข้ารหัส Base64 ทั้งหมด
ตัว Astaroth จะทำหน้าที่เป็น info - stealer สามารถถ่ายโอน credentials สำหรับแอพหลากหลายประเภทบนเครื่อง และอัพโหลดมันขึ้นไปยัง remote server
อ่านเพิ่มเติม : https://zd.net/2O4iT79 และ https://bit.ly/2xRPxOC
