微软警告,Nodersok Malware活动感染了数千个
微软的威胁检测团队已经通过一个新的无用的恶意软件活动发出警告,被称为Nodersok,它已经感染了数千个Windows终点 - 大多数在美国和英国 - 在9月5日到11日之间检测到的活动中。
微软表示,它在7月中旬发现了该活动,当时它看到可疑模式通过其后卫先进的威胁保护(ATP)遥测出现。这些与可执行文件的异常使用相关。
“大多数目标是消费者,但在教育,专业服务,医疗保健,金融和零售等部门的组织中观察到了大约3%的遭遇,”Microsoft首席安全研究员Andrea Lelli在一个博客文章中。
微软表示,Nodersok与其他恶意软件活动的不同之处在于它提供了两个不寻常但合法的工具。这些是node.exe,node.js框架的Windows实现,以及WindiVert,网络数据包捕获和操作实用程序。
“无纺布恶意软件的一部分是它利用所指的土地技术,这是指滥用合法工具的滥用工具,也称为恶意软件的机器上已经存在的陆地二进制二进制文件(Lolbins)可以持续,横向移动或服务其他目的,“Lelli写道。
“但是当攻击者需要超出标准磨砂项提供的功能时会发生什么?结核病决定带上自己的磨砂。
“就像任何lolbin一样,这些工具不是恶意或脆弱的;它们提供了合法用途的重要功能。攻击者在受感染的机器上下载合法的第三方工具并不少见。然而,Nodersok经历了长期的无纺布技术,以安装一对非常奇特的工具,其中一对非常奇特的工具,最终目标:将受感染的机器转为僵尸代理。“
LELLI补充说:“虽然攻击的文件方面非常棘手,但它的行为产生了一种可见的足迹,这对于任何了解在哪里看的人来说清楚地脱颖而出。”
Nodersok受害者在下载并运行名为Player156444384.hta的HTML应用程序时感染了(这些数字各不相同),最有可能通过合法内容交付服务CloudFront受到损害的在线广告。
在一个多阶段的过程中 - 包括推出Matershell的多个实例,以运行额外的恶意模块,其中包括Windows Defender防病毒和Windows更新 - 感染在为Node.js编写的最终JavaScript有效载荷中达到了Culminates,将端点转换为潜在的代理僵尸。
“感染方法无关,多年来,对基于文件或无用恶意软件的保护的建议没有变化,”智力副主席Gavin Millard说。
“通过修补恶意软件所针对的漏洞来减少攻击表面,具有强大的入站邮件和Web过滤,以识别和隔离可疑的附件,教育用户对负责任的文件执行文件,具有最新的恶意软件防御,并确保系统在A中进行康复安全的方式。
“无论恶意软件的复杂性,专注于减少攻击表面,大多数都可以通过有效工作的基础安全控制轻松减轻。”
米尔德补充说:“在迟到的Windows系统中,有一个特权高程漏洞的速度也应该被修补,因为更复杂的恶意软件在安装所有商品之前都会尝试获得更高级别的访问。”