Computer Security 'Great Duke Of Hell' DLL Malware Attack Uncovers Vicious ...

'Great Duke Of Hell' DLL Malware Attack Uncovers Vicious Astaroth Fileless Malware Threat

マイクロソフトは最近、被害者のマシンにインストールされていなくてもデータを盗むことができる、非常に不快なファイルレスマルウェアの 1つであることを明らかにしました - Astaroth

このマルウェアは、オカルトの本 'Ars Goetia'および 'The Key of Solomon'からまっすぐに同じ名前の悪魔にちなんで名付けられ、2017年以降、流行しています。エントリポイントとして槍フィッシングを使用した標的型攻撃で、南アメリカおよびヨーロッパの企業からデータを盗み取ります。

Microsoft Defender APTの研究者Andrea Lelliによれば、この特定の感染症をユニークなものにしているのは、いくつかの伝統的なウイルス対策プログラムの検出方法にこっそり潜入する能力があるためです。

Lelli氏によると、Astarothは個人の認証情報、キーロギングなどの情報を盗み出し、そのデータをリモートサーバーに抽出します。その後、攻撃者はそのデータを金銭の盗難に使用したり、個人情報を他の犯罪者に販売したり、あるいはネットワークを越えて横方向に移動したりします。

Astarothがシステムにどのように感染するか

攻撃は通常、被害者がスピアフィッシングを念頭に置いて作成された電子メール - 攻撃者が操作の一部として使用するソーシャルエンジニアリングツール - 内でリンクを開くことによって始まります。この種の詐欺は、感染を可能にするJavaScriptコードをダウンロードして実行することになる端末コマンドへのショートカットファイルを開くリンクを開くことを目的としています。このスクリプトは、合法的なシステムプロセスのふりをしながら、収集した情報の記録とアップロードを処理する2つのDLLファイルをダウンロードして実行します。

DLLファイル以外は何もダウンロードまたはインストールされないため、この手順はシグネチャベースの検出ツールに対して有効に機能します。これにより、プロセス内で攻撃をスキャンして検出する機会がほとんどなくなります。このアプローチにより、Astarothは2017年末以降、トロイの木馬のダウンローダや脆弱性の悪用に通常頼ることなく、 レーダーの下で飛行し、オンラインで繁栄することができました。

ファイルレスマルウェア検出対策

Lelli氏によると、従来のファイル中心のアンチウイルスソリューションでは、2つのDLLファイルのダウンロード中に攻撃を検出する機会が1回だけです。 DLLはコードの難読化を使用しており、キャンペーンによって異なります。つまり、これら2つの検出に焦点を合わせることは「悪質な罠」になることを意味します。

Microsoftや他のベンダーは、WMICコマンドラインコードの使用を注意深く監視し、DLLファイルの読み込みが発生したときにルールを適用するなど、ヒューリスティックな検出ツールに頼らなければなりませんでした。ファイルの経過時間をチェックし、新しく作成されたDLLが実行されないようにすることや同様の戦術をブロックすることで、新しいセキュリティツールはファイルレスマルウェアに追いつくことができます。

'Great Duke Of Hell' DLL Malware Attack Uncovers Vicious Astaroth Fileless Malware Threatスクリーンショット

astaroth trojan spreading
読み込んでいます...