中关村在线

网络安全

微软披露新的Nodersok无文件攻击行动

自从今年7月Astaroth无文件(fileless)攻击行动被公开后,微软本周再次披露了新一波的Nodersok无文件攻击,骇客同样利用合法工具展开攻击,目的是将受害系统变成代理人以执行点击诈骗,估计已有数千台Windows电脑被缠上。

由于无文件攻击不感染设备上的任何文件,也不在硬盘上留下痕迹,仅通过合法工具展开一连串的感染行动。

Nodersok的开端始于使用者借助点选或浏览恶意广告,而下载与执行一个HTML程序(HTA),而藏在该HTA文件的JavaScript代码,就会从C&C服务器下载另一个JavaScript文件。接着下载含有PowerShell指令但被加密的MP4文件,解密后利用PowerShell指令,来下载可关闭Windows Defender Antivirus的模块及其它模块,最后留下的是能把受害电脑变成代理人、基于Node.JS框架的JavaScript模块。

微软表示,Nodersok与Astaroth一样,感染链的每个步骤都只在合法的工具上执行,不管是机器内建的mshta.exe与powershell.exe,或者是自第三方网站下载的node.exe及Windivert.dll/sys,而伴随这些脚本程序或Shellcodes出现的功能,都是以加密的形式出现,之后再行解密,而且仅在内存中执行,并没有任何恶意执行代码被写入硬盘。

假如删除Nodersok所借道的合法工具,那么真正的恶意文件只有一开始的HTA文件、最后的JavaScript模块,以及大量的加密文件。

微软是在今年7月中发现Nodersok攻击行动的,由于侦测到mshta.exe的使用出现异常而展开调查。现在Nodersok的主要目标锁定在美国和欧洲的一般消费者身上。

展开全文

D-Link DIR-867

D-Link DIR-867

[经销商] 京东商城

[产品售价] 399元

人赞过该文
内容纠错

相关电商优惠

评论

更多评论
还没有人评论~ 快来抢沙发吧~

读过此文的还读过

点击加载更多
说点什么吧~ 0

发评论,赚金豆

收藏 0 分享
首页查报价问答论坛下载手机笔记本游戏硬件数码影音家用电器办公打印 更多

更多频道

频道导航
辅助工具