هشدارهای افتایی
تیم امنیت مایکروسافت به تازگی هشداری را درباره یک عملیات انتشار بدافزار Astaroth منتشر کرده است. در حمله انجام شده تروجان Astaroth در یک فرایند اجرای بدون فایل (fileless) منتقل شده است که شناسایی آن توسط راه‌کارهای ضدویروس سنتی به سختی انجام می‌شود.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، این حملات توسط تیم نرم‌افزار ضدویروس ویندوز به نام Windows Defender ATP شناسایی شده است. حملات زمانی نمایان شدند که میزان استفاده از ابزار خط فرمان مدیریتی ویندوز (WMIC) به طور ناگهانی افزایش یافت. این ابزار قانونی در تمامی نسخه‌های مدرن ویندوز وجود دارد، اما افزایش ناگهانی در استفاده از آن بیانگر یک الگوی خاص حمله بدافزاری است.
در این حملات سایبری یک عملیات اسپم گسترده مشاهده شد که در ایمیل‌های ارسالی یک لینک به یک فایل میانبر LNK وجود داشت. زمانی که کاربر این فایل را دانلود و اجرا کند، ابزار WMIC اجرا خواهد شد و سپس دامنه گسترده‌ای از ابزارهای قانونی ویندوز، یکی پس از دیگری اجرا می‌شوند. این ابزارها کدهای اضافی را اجرا می‌کنند و خروجی یک ابزار به ابزار دیگر منتقل می‌شود که هر فرایند به تنهایی در حافظه و بدون ذخیره‌سازی هیچ فایلی انجام می‌شود. به این فرایند، اجرای بدون فایل گفته می‌شود که این کار شناسایی بدافزار توسط راهکارهای امنیتی سنتی را مشکل می‌کند، زیرا هیچ فایلی در سیستم وجود ندارد که مورد اسکن ضدویروس قرار گیرد.
در انتهای فرایند آلوده‌سازی، تروجان Astaroth دانلود و اجرا می‌شود. این تروجان یک سارق اطلاعات شناخته شده است که می‌تواند اطلاعات احرازهویت تعداد زیادی از برنامه‌ها را دریافت و به یک سرور راه دور ارسال کند. Astaroth اولین بار در سال 2018 شناسایی شد. همچنین تکنیک استفاده شده در این تروجان، در سه سال گذشته مورد توجه توسعه‌دهندگان بدافزارها قرار گرفته است. افزایش استفاده از تکنیک‌های مخفی مانند اجرای بدون فایل، توسعه راهکارهای ضدویروس را از حالت سنتی شناسایی امضای فایل به رویکرد مبتنی بر رفتار تغییر می‌دهد.
فرایند کلی آلودگی توسط این بدافزار در تصویر زیر قابل مشاهده است:
 
 
منابع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.