최근 Microsoft는 Windows가 맬웨어의 공격을 받은 후 빨간색 경고에 들어갔습니다. 이번에 적군은 Astaroth라고 하는 파일리스 멀웨어의 변종이었습니다. 우리는 과거에 파일 없는 맬웨어를 다루었으므로 그것이 의미하는 바가 확실하지 않은 경우 반드시 연구하십시오. 본질적으로 맬웨어가 파일 시스템이 아니라 컴퓨터의 RAM 내에 존재하여 탐지하기가 더 어려워지는 경우입니다.
Microsoft가 Astaroth에 대해 무장한 이유와 자신을 보호하기 위해 해야 할 일을 살펴보겠습니다.
아스타로스는 어떻게 퍼지나요?
Astaroth는 .LNK 파일을 사용하여 돌아다니고 있습니다. 이 파일을 웹사이트에 업로드하면 웹사이트 링크가 이메일로 전송됩니다.
누군가 링크를 클릭하면 .LNK 파일이 활성화되어 Windows에서 실행됩니다. 그러면 WMIC(Windows Management Instrumentation 명령줄) 도구에 일부 지침이 전송됩니다. 이것은 Windows 자체에 있는 정품 프로그램이므로 실행하는 동안 바이러스 백신 아래에 있습니다.
그런 다음 Astaroth는 WMIC의 가장을 사용하여 Astaroth가 작업을 수행하는 데 필요한 모든 프로그램을 다운로드하고 실행하도록 합니다. 악성코드를 완전히 조립하면 공격이 시작됩니다.
Astaroth는 작업을 수행하기 위해 도구를 다운로드하지만 모두 Windows에서 기본적으로 사용하는 합법적인 시스템 도구입니다. 따라서 공격이 자체적으로 주요 Windows 프로세스를 사용하기 때문에 바이러스 백신이 이를 감지하기가 더 어렵습니다. 이것이 외부 파일이 다운로드 및 저장되지 않기 때문에 "파일리스" 공격이라고 불리는 이유입니다.
이 공격 방법에는 "Living-off-the-Land" 공격이라는 더 큰 범주가 할당되어 있습니다. 이는 바이러스가 기술적으로 시스템에 새로운 에이전트를 도입하지 않기 때문입니다. 이미 있는 것을 사용하여 페이로드를 다운로드하고 실행합니다.
아스타로스는 무엇을 하나요?
Astaroth의 주요 목표는 가능한 한 많은 정보를 수집하는 것입니다. 여러 공격 벡터를 통해 이를 수행합니다. 키로거는 사용자가 입력하는 모든 것을 추적하고 클립보드에서 민감한 정보를 검색합니다. Astaroth는 또한 앱이 자신에 대한 정보를 덤프하도록 할 것입니다.
이것은 일반적으로 오늘날 대부분의 맬웨어가 작동하는 방식입니다. 바이러스와 맬웨어는 피해를 입히는 대신 데이터를 수집하거나 개발자를 위해 돈을 버는 작업을 선택합니다. Astaroth는 파일이 없는 설치와 다양한 탐지 방법으로 인해 강력한 성능을 발휘하므로 이에 대한 심각한 예입니다.
이 공격을 피하는 방법
다행스럽게도 이 전술을 사용하면 바이러스 백신이 공격을 감지하는 것이 어렵지만 실제 초기 벡터는 사람의 눈으로 쉽게 식별할 수 있습니다. 이메일에서 클릭하는 링크, 특히 이전에 한 번도 들어본 적이 없는 사람들이 보낸 링크에 항상 주의하십시오.
파일리스 적
파일이 없는 맬웨어의 은밀한 특성으로 인해 바이러스 백신이 설치된 사용자에게도 심각한 위협이 됩니다. 최신 Astaroth 물결은 파일리스 멀웨어가 얼마나 파괴적인지를 보여주었습니다. 이제 이것이 무엇인지, 무엇을 할 수 있는지, 감염을 피하는 방법을 알게 되었습니다.
파일 없는 맬웨어가 걱정됩니까? 아래에서 알려주십시오.