微软警告称，一种新的罕见的无文件恶意软件正在劫持Windows电脑

小心Windows用户！



为什么？这是因为，首先，它是一种高级无文件恶意软件，其次，它只利用合法的内置系统实用程序和第三方工具来扩展其功能并危害计算机，而不是使用任何恶意代码。

自带合法工具的技术非常有效，在野外很少被发现，帮助攻击者将其恶意活动与常规网络活动或系统管理任务混合在一起，同时留下更少的足迹。

由微软和思科Talos的网络安全研究人员独立发现的恶意软件—；被称为“诺德索克“和”发散的“—；主要通过恶意在线广告进行传播，并通过下载驱动攻击感染用户。

该恶意软件于今年7月中旬首次被发现，其设计目的是将受感染的Windows计算机转化为代理，据微软称，攻击者可以利用该代理作为中继来隐藏恶意流量；Cisco Talos认为，这些代理用于点击欺诈，为攻击者创造收入。

多阶段感染过程涉及合法工具

当恶意广告投放时，感染就开始了HTML应用程序（HTA）用户计算机上的文件，单击该文件时，会执行一系列JavaScript有效载荷和PowerShell脚本，最终下载并安装Nodersok恶意软件。

“所有相关功能都存在于脚本和外壳代码中，这些脚本和外壳代码几乎总是加密的，然后被解密，并且只在内存中运行。没有恶意的可执行文件被写入磁盘，”微软解释道。

如图所示，JavaScript代码连接到合法的云服务和项目域，以下载并运行第二阶段脚本和其他加密组件，包括：

• PowerShell脚本— 尝试禁用Windows Defender防病毒和Windows update。
• 二进制外壳代码— 尝试使用自动提升的COM接口升级权限。
• 节点。exe— 流行节点的Windows实现。js框架是受信任的，具有有效的数字签名，它执行恶意JavaScript以在受信任进程的上下文中运行。
• WinDivert（Windows数据包转移）— 一个合法、强大的网络数据包捕获和操纵工具，恶意软件使用它来过滤和修改某些传出的数据包。

最后，恶意软件会丢弃为节点编写的最终JavaScript有效负载。js框架，将受损系统转换为代理。

微软解释说：“这就结束了感染，在感染结束时，网络数据包过滤器处于活动状态，机器正在充当潜在的代理僵尸。”。

“当一台机器变成代理时，攻击者可以将其用作中继，以访问其他网络实体（网站、C&C服务器、受损机器等），从而允许他们执行隐蔽的恶意活动。”

据微软的专家称，该节点。基于js的代理引擎目前有两个主要用途—；首先，它将受感染的系统连接回由攻击者控制的远程命令和控制服务器，其次，它接收HTTP请求以代理返回给它。


另一方面，Cisco Talos的专家得出结论，攻击者正在使用此代理组件命令受感染的系统导航到任意网页进行赚钱和点击欺诈。

Nodersok感染了数千名Windows用户

据微软称，在过去几周里，Nodersok恶意软件已经感染了数千台机器，大多数目标位于美国和欧洲。

虽然恶意软件主要针对Windows home用户，但研究人员发现，大约3%的攻击针对的是来自教育、医疗保健、金融、零售、商业和专业服务等行业的组织。

由于恶意软件活动采用了先进的无文件技术，并通过使用合法工具依赖于难以捉摸的网络基础设施，因此攻击活动在雷达下进行，使得传统的基于特征码的防病毒程序更难检测到它。

“如果我们排除了攻击所利用的所有干净合法的文件，剩下的只有最初的HTA文件、最终的基于Node.js的有效载荷和一堆加密文件。传统的基于文件的签名不足以应对这样复杂的威胁，”微软说。

然而，该公司表示，该恶意软件的“行为产生了一个明显的脚印，对任何知道去哪里寻找的人来说都很明显。”

今年7月，微软还发现并报告了另一个名为阿斯塔罗特，其目的是窃取用户的敏感信息，而不会在磁盘上删除任何可执行文件，也不会在受害者的机器上安装任何软件。

微软表示，其Windows Defender ATP下一代防护通过发现异常和恶意行为（如脚本和工具的执行），在每个感染阶段检测这种无文件恶意软件攻击。