Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'ANALISI TECNICA

Astaroth, il malware fileless che usa tool di sistema per hackerare Windows: ecco come difendersi

Si chiama Astaroth il nuovo malware fileless che si nasconde nella memoria RAM del computer per passare inosservato agli antivirus e rubare informazioni sensibili delle vittime, le loro credenziali di accesso e intercettare tutto ciò che digitano sulla tastiera. Ecco i dettagli tecnici e i consigli per difendersi

09 Lug 2019

Paolo Tarsitano


Astaroth è un nuovo malware fileless che sfrutta il metodo “live off the land” per attaccare gli utenti di Windows con una tecnica avanzata e persistente che gli consente di eludere tutti i sistemi di controllo installati nel sistema compromesso.

In pratica, Astaroth sfrutta applicazioni di sistema o tool nativi di Windows con scopi malevoli, consentendo ad un attaccante di compiere le proprie azioni criminali basandosi solamente su ciò che “offre la natura” (traduzione letterale dall’inglese: live off the land), cioè il sistema operativo stesso.

Astaroth: i dettagli tecnici del malware fileless

Astaroth è il protagonista di una nuova massiccia campagna malevola appena individuata dai ricercatori del Microsoft Defender ATP Research Team. Il suo scopo, una volta innestatosi nel sistema target, è quello di rubare informazioni sensibili e le credenziali di accesso delle sue vittime.

Inoltre, grazie ad un modulo keylogger integrato, è anche in grado di intercettare e registrare tutto ciò che viene digitato sulla tastiera.

Giusto per non farsi mancare nulla, Astaroth riesce a sfruttare anche la console Windows Management Instrumentation Command (WMIC), oltre che per raccogliere informazioni sul computer compromesso, sul sistema operativo installato e sulle componenti hardware direttamente dal prompt dei comandi, anche per scaricare e installare in background e furtivamente i payload di altri malware.

Come tutti i malware fileless, anche Astaroth si innesta solo nella memoria di una macchina e, idealmente, non lascia alcuna traccia dopo la sua esecuzione. Il suo scopo è quello di risiedere in aree di sistema volatili come il registro di configurazione di Windows e i processi in-memory.

Astaroth: come avviene l’infezione del sistema

Il processo di infezione di Astaroth avviene in più fasi e inizia con una e-mail di spear-phishing contenente un link dannoso che punta ad un file dannoso in formato LNK. Un doppio clic su questo file avvia l’esecuzione dello strumento WMIC con il parametro /Format che consente il download e l’esecuzione di un codice JavaScript.

Il codice JavaScript, a sua volta, scarica i payload abusando dello strumento da linea di comando di Windows BITSAdmin.

I payload dannosi scaricati in background sono tutti codificati su Base64 e vengono decodificati sui sistemi compromessi sotto forma di quattro DLL usando lo strumento CertUtil integrato in Windows e utilizzato per la gestione dei certificati digitali da prompt dei comandi e per scaricare ed eseguire sul sistema dell’utente codice malevolo.

Le librerie verranno quindi caricate in memoria con l’aiuto dello strumento Regsvr32.

Il primo file DLL caricato in memoria richiamerà la seconda DLL che caricherà riflessivamente la terza DLL. Quest’ultima è progettata per decifrare e iniettare un’altra DLL nel processo Userinit di Windows. Questa quarta DLL, quindi, agirà come un proxy per scaricare e caricare una quinta DLL.

Quest’ultimo file è in realtà una copia del malware fileless Astaroth che, una volta in esecuzione, inizierà a raccogliere ed estrarre vari tipi di informazioni sensibili delle sue vittime inviandole poi ai server di comando e controllo (C2) controllati dai criminal hacker.

Ecco un grafico che riassume la catena infettiva del malware fileless Astaroth.

I consigli per difendersi

Come abbiamo visto, in nessun punto della catena infettiva, neanche nell’ultimo in cui viene eseguito il malware vero e proprio, vengono eseguiti file che non siano strumenti legittimi di Windows. In questo modo, i criminal hacker creatori di Astaroth provano a rendere il malware “invisibile” agli antivirus.

In realtà, proprio l’abuso di tecniche fileless non mette il malware al di fuori della portata o della visibilità del software di sicurezza. Al contrario, alcune delle tecniche utilizzate possono essere così insolite e anomale da attirare l’attenzione immediata sul malware.

In generale, comunque, per difendersi dai malware fileless come Astaroth è sempre utile mantenere i propri sistemi aggiornati, specialmente con l’installazione di patch di sicurezza. Questi aggiornamenti sono in grado di eliminare o limitare la superficie di attacco per un malintenzionato che, ricordiamo, utilizza il metodo “live off the land”. Meno software vulnerabile, minor rischio.

Infine, utilizziamo sempre il buon senso quando controlliamo la posta elettronica e durante la navigazione su Internet. I malware fileless, come nel caso di Astaroth, vengono spesso recapitati con tecniche di social engineering (spear phishing nello specifico). Prestiamo attenzione e chiediamo al dipartimento IT prima di procedere ad aprire un allegato contenuto in una email sospetta o accettare l’esecuzione di software su un sito Web di dubbia reputazione.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5