热点:

    微软披露新的Nodersok无文件攻击行动

      [  中关村在线 原创  ]   作者:郑伟

      自从今年7月Astaroth无文件(fileless)攻击行动被公开后,微软本周再次披露了新一波的Nodersok无文件攻击,骇客同样利用合法工具展开攻击,目的是将受害系统变成代理人以执行点击诈骗,估计已有数千台Windows电脑被缠上。

    微软披露新的Nodersok无文件攻击行动

    D-Link DIR-867

    D-Link DIR-867

    [经销商] 京东商城

    [产品售价] 399元

      由于无文件攻击不感染设备上的任何文件,也不在硬盘上留下痕迹,仅通过合法工具展开一连串的感染行动。

      Nodersok的开端始于使用者借助点选或浏览恶意广告,而下载与执行一个HTML程序(HTA),而藏在该HTA文件的JavaScript代码,就会从C&C服务器下载另一个JavaScript文件。接着下载含有PowerShell指令但被加密的MP4文件,解密后利用PowerShell指令,来下载可关闭Windows Defender Antivirus的模块及其它模块,最后留下的是能把受害电脑变成代理人、基于Node.JS框架的JavaScript模块。

      微软表示,Nodersok与Astaroth一样,感染链的每个步骤都只在合法的工具上执行,不管是机器内建的mshta。exe与powershell。exe,或者是自第三方网站下载的node。exe及Windivert。dll/sys,而伴随这些脚本程序或Shellcodes出现的功能,都是以加密的形式出现,之后再行解密,而且仅在内存中执行,并没有任何恶意执行代码被写入硬盘。

      假如删除Nodersok所借道的合法工具,那么真正的恶意文件只有一开始的HTA文件、最后的JavaScript模块,以及大量的加密文件。

      微软是在今年7月中发现Nodersok攻击行动的,由于侦测到mshta.exe的使用出现异常而展开调查。现在Nodersok的主要目标锁定在美国和欧洲的一般消费者身上。

    本文属于原创文章,如若转载,请注明来源:微软披露新的Nodersok无文件攻击行动http://safe.58quanba.com/728/7282025.html

    safe。zol。com。cn true http://safe.58quanba.com/728/7282025.html report 1306   自从今年7月Astaroth无文件(fileless)攻击行动被公开后,微软本周再次披露了新一波的Nodersok无文件攻击,骇客同样利用合法工具展开攻击,目的是将受害系统变成代理人以执行点击诈骗,估计已有数千台Windows电脑被缠上。D-Link DIR-867 [经销商] 京东商城[产...
    • 猜你喜欢
    • 最新
    • 精选
    • 相关
    推荐经销商
    投诉欺诈商家: 010-83417888-9185
    • 北京
    • 上海
    周关注排行榜
    • 防火墙
    • UTM
    • 上网行为
    • 防毒墙
    推荐问答
    提问
    0

    下载ZOL APP
    秒看最新热品

    纠错
    幸运飞艇注册 幸运飞艇官网 奔驰彩票平台 秒速赛车平台 秒速赛车平台 秒速赛车平台 幸运飞艇官网 奔驰彩票平台 秒速赛车平台 秒速赛车平台