2019-10-04
【一 Bug 未平漏洞又起!!】專攻 Windows 系統
Microsoft 揭露 Nodersok 新型惡意軟件
文: Cherry Kwok / 新聞中心
文章索引: IT要聞 Microsoft

自從今年 7 月 Astaroth Fileless 無檔案攻擊行動被公開後,Microsoft 日前再披露了新一波的 Nodersok 無檔案攻擊,駭客同樣利用合法工具展開攻擊,目的是將受害系統變成代理人以執行點擊詐騙,估計全球已有數千台 Windows 電腦遭到惡意軟件攻擊。

 

在 Microsoft 的報告中,將這種惡意軟件稱為「Nodersok」,在 Cisco 的報告中,將其稱為「Divergent」,「Nodersok」惡意軟件最初在今年夏天被發現,它通過惡意廣告進行分發,強制將 HTA(HTML應用程序) 文件下載到用​​戶的電腦上,一旦運行了這個軟件,用戶的電腦就會進行一個涉及 Excel、JavaScript 及 PowerShell 腳本的多階段感染過程,該進程最終下載並安裝  Nodersok 惡意軟件。

 

Nodersok

 

惡意軟件本身具有多個組件,每個組件都有其自己的角色。有一個 PowerShell 模組試圖禁用 Windows Defender 及 Windows Update,還有一個用於將惡意軟件的權限提升到 SYSTEM 級別的組件。

 

但其中也有兩個被認為是合法的應用組件,即 WinDivert 及 Node.js。第一個是用於捕獲網絡數據包並與之交互的應用程式,第二個是用於在 Web 伺服器上運行 JavaScript 的著名開發人員工具。根據 Microsoft 及 Cisco 的報告,該惡意軟件使用這兩個合法應用組件在受感染的主機上啟動 SOCKS 代理。但是,這裡有一個分歧,Microsoft 聲稱該惡意軟件將受感染的主機轉變為代理,以中繼惡意流量。Cisco 表示,這些代理用於執行點擊欺詐。

 

Nodersok

Nodersok

 

為了防止被感染,建議大家不要運行在電腦上找到的任何 HTA 文件,尤其是在不知道文件確切來源的情況下。根據 Microsoft 的遙測技術,Nodersok 已經在過去幾週成功感染了數千台機器。Microsoft 表示,大多數感染於本月發生,主要在美國和歐盟地區傳播。

Nodersok

分享到:
發表評論