长春配资│龙虎榜│长春配资

时间：2023-04-15 浏览：52 分类：网络

新的歹意进犯活动经过乱用Cloudflare Workers无服务器核算渠道来活泼分发新的Astaroth木马变体，以防止检测并阻挠主动剖析测验。

Cloudflare Workers是从坐落90个国家的193个城市的“数据中心”在Cloudflare服务器上运转的脚本，答应用户履行任何JavaScript代码而无需忧虑根底架构保护。

“工人有一个免费的方案，任何人或任何人都可以注册，每天可以取得100,000个恳求。每个帐户可以创立无限数量的工作人员”，正如Check Point歹意软件研讨员Marcel Afrahim发现这个Astaroth变种相同。

Cloudflare Workers被Astaroth的运营商用作三阶段感染进程的一部分，首先是络垂钓电子邮件，其间包括HTML附件，其间包括混杂的JavaScript代码并链接到坐落Cloudflare根底架构后边的域。

Cloudflare工作人员负载有用负载

此域用于以JSON格局供给多种类型的有用负载，详细取决于方针的方位，以答应进犯者快速更改各种方针的歹意文件，并防止依据发送给潜在受害者核算机的文件方针类型进行阻挠。

“要生成进犯的第二阶段，将解析URL中的JSON，从Base64转换为Array缓冲区，写入浏览器的blob存储，重命名以匹配HTML文件的称号，创立链接并主动单击将其下载到用户的浏览器，“Afrahim发现。

保存的有用负载是ZIP存档，方针交流为重定向到指向运用Cloudflare Workers仪表板脚本编辑器创立的脚本内容的URL。

这儿最重要的部分是用于加载脚本的预览面板的URL可以运用随机值进行更改，或许会生成“可以履行特定代码的很多或无限数量的主机名，而传统的Anti-bot或阻挠东西将会没能捉住。“

此外，即便“Cloudflare Workers没有才能保管文件，但它可以将流量从其工作人员重定向到静态文件保管服务器，而不会走漏其身份，”Afrahim发现。

接下来，脚本将从Cloudflare Workers仪表板脚本编辑器预览URL保存在受害者的核算机上，该URL运用Windows脚本宿主(Wscript)进程履行，并下载作为感染进程第三阶段的一部分而丢掉的终究有用负载。

Astaroth有用载荷将运用“十个随机且仅有的Cloudflare Worker节点链接”之一下载，每个链接都有9亿个或许的URL变体，而在32位核算机上 – 一般标明该歹意软件已登陆歹意软件剖析沙箱 – “运用具有静态链接的私有Google存储库”以防止检测到根据Cloudflare的根底架构。

第三阶段运用DLL侧载来中止合法进程并加载歹意DLL，该DLL与进犯者操控的YouTube和Facebook配置文件通讯，以取得Morphus Labs的Renato Marinho在剖析中发现的终究指令和操控(C2)服务器地址简直相同的Astaroth变种。

因为Afrahim在他的编撰结束时总结了这个新的Astaroth变体的内部运作的详细信息，运营此活动的艺人运用Cloudflare Workers来：

?具有一个灵敏，高效，安全的络来传达有用载荷。

?依托可信域名和服务来扩展掩盖规模。

?躲藏沙箱并中止主动剖析东西。

?为每次运转生成随机有用负载URL的立异办法。

?在退让的情况下轻松重建操作。

不断发展的信息盗取者木马

早在1830年，Cofense发现Astaroth特洛伊木马是针对巴西受害者的歹意活动的一部分，大约8,000台机器或许在一周的进犯中遭到进犯。

Astaroth可以凭借密钥记录器模块，操作体系调用阻拦以及运用剪贴板监控来盗取灵敏信息，例如用户凭据。

Astaroth也因乱用生活在陆地的二进制文件(LOLbins)而出名，例如Windows Management Instrumentation Console(WMIC)的指令行界面，以便在受感染的核算机上隐秘下载和装置歹意负载。

在Cybereason发现的2月份活动中，看到一个新的Astaroth变种在Avast防病毒软件的aswrundll.exe Avast软件运转时动态链接库中注入歹意模块，后者用于搜集受感染设备上的信息并加载额定模块。

微软后卫ATP研讨小组还剖析了5月和6月期间活泼的Astaroth活动，并发现它运用多阶段感染进程和几种无生命的技能来悄然感染其方针体系。