'Great Duke Of Hell' DLL Malware Attack Uncovers Vicious Astaroth Fileless Malware Threat

Microsoftは最近、どのように1つの非常にベールを持ち上げた不快なfilelessのマルウェア -これまで被害者のマシンにインストールすることなく、データを盗むために働くアスタロト 。

オカルトの本「Ars Goetia」と「The Key of Solomon」に由来する同名の悪魔にちなんで名付けられ、虚栄心と怠lazによって犠牲者を誘惑すると言われ、このマルウェアは2017年以来ずっと流通しています。スピアフィッシングをエントリポイントとして使用した標的型攻撃で、南米およびヨーロッパの企業からデータを盗みます。

Microsoft Defender APTの研究者であるAndrea Lelliによると、この特定の感染を独特なものにしているのは、従来のウイルス対策プログラムの検出方法に潜入する能力があるためです。

Lelli氏によると、Astarothは個人の資格情報、キーロギングなどのデータを盗み、その後リモートサーバーに流出することで悪名高い。その後、攻撃者はデータを金融窃盗に使用し、個人情報を他の犯罪者に販売したり、ネットワークを横切って移動したりします。

Astarothがシステムに感染する方法

通常、攻撃は、被害者がスピアフィッシングを念頭に置いて作成された電子メール内のリンクを開くと開始されます。これは、攻撃者が操作の一部として使用するソーシャルエンジニアリングツールです。この種の詐欺は、リンクを開くことを目的としています。このリンクは、感染を可能にするJavaScriptコードをダウンロードして実行する端末コマンドへのショートカットファイルを開きます。このスクリプトは、収集された情報のロギングとアップロードを処理する2つのDLLファイルをダウンロードして実行しますが、その間、正当なシステムプロセスのふりをします。

DLLファイルのみがダウンロードまたはインストールされるため、この手順は署名ベースの検出ツールに対して有効です。これにより、プロセスで攻撃をスキャンしてキャッチする機会がほとんどなくなります。このアプローチにより、Astarothは、トロイの木馬のダウンローダーや脆弱性のエクスプロイトに通常依存することなく、2017年の終わり頃からレーダーの下を飛び、オンラインで繁栄することができました。

ファイルレスマルウェア検出対策

Lelli氏によると、従来のファイル中心のウイルス対策ソリューションでは、攻撃で使用される実行可能ファイルは悪意のないものと見なされるため、2つのDLLファイルのダウンロード中に攻撃を検出するチャンスは1回しかありません。 DLLはコードの難読化を使用し、キャンペーンによって異なります。つまり、これら2つの検出に焦点を合わせるのは「悪質なtrap」になるとLelliは付け加えました。

Microsoftおよびその他のベンダーは、WMICコマンドラインコードの使用を注意深く監視し、DLLファイルの読み込みが発生したときにルールを適用するようなヒューリスティック検出ツールに依存する必要がありました。ファイルの経過時間を確認し、新しく作成されたDLLの実行をブロックするなどの戦術により、新しいセキュリティツールがファイルレスマルウェアに追いつくことができます。