ИБ-эксперты предупредили об очередной кампании операторов шпионского трояна Astaroth, который скрывается от программ безопасности с помощью техники «подножного корма» (living-off-the-land), то есть использует инструменты атакуемой системы. По словам исследователей, защитить от зловреда могут только продвинутые антивирусные средства, заточенные под такой класс ПО.

Обнаружить нынешнюю атаку удалось по подозрительной активности легитимной утилиты для управления Windows (Windows Management Instrumentation Command, WMIC). Она позволяет вызывать соответствующие инструменты прямо из командной строки, при этом все выполняемые сценарии абсолютно легитимны. Эти факторы делают WMIC интересной целью для взломщиков.

Как выяснилось, первоначальное проникновение произошло через письмо с вредоносным URL. Ссылка вела на ZIP-архив, замаскированный под HTM-страницу. Внутри находился LNK-ярлык, в чьем наименовании использован тот же прием. Открытие этого файла запускает WMIC.

Консольная утилита начинает работу с включенным параметром /Format, что позволяет ей скачивать и запускать JavaScript-код. Именно это и происходит на следующем этапе, когда на компьютер последовательно загружаются несколько файлов с обфусцированным содержимым.

Эти компоненты, в свою очередь, обеспечивают запуск легитимных утилит, которые скачивают и приводят в рабочее состояние полезную нагрузку — DLL-библиотеки в открытом и зашифрованном виде. Одна из них встраивает Astaroth в процесс Userinit. Он обеспечивает авторизацию пользователя при запуске системы, что позволяет трояну закрепиться на машине.

Подобные бесфайловые зловреды, которые действуют непосредственно в памяти и используют легитимные сервисы Windows, стоят за многими крупными кибератаками. Например, к этой категории относится червь Stuxnet, который вывел из строя иранские АЭС и все еще циркулирует в Сети. Другой пример — зловред группировки Fin7, предназначенный для взлома банкоматов и платежных систем.

Особенность подобных программ в том, что их сложно пробить по антивирусным базам. Специалисты призывают администраторов обращать внимание на косвенные признаки вторжения, как это было с подозрительной активностью WMIC в нынешней атаке Astaroth.

Категории: Аналитика, Вредоносные программы, Главное