这些天似乎一切都需要品牌。这样可以很容易地引用那些本来很难识别的东西,这就是为什么许多安全研究人员开始命名他们的发现的原因,但也可能导致一些混乱。这就是本周早些时候微软Defender高级威胁防护研究团队和Cisco Talos给同一恶意软件两个不同名称的情况。
微软将其命名为Nodersok。思科Talos将其命名为Divergent。不管它叫什么名字,新恶意软件都使用“陆地移动技术”,这些技术将合法工具重新用于恶意目的。这些经过重新利用的工具称为“陆地移动二进制文件”,或简称为LOLBins,它们使这种所谓的无文件恶意软件能够逃避绝大多数Windows安全产品所采用的检测功能。
微软对Nodersok的感染方法的评价如下:
“像Astaroth战役一样,感染链的每一步都只能运行合法的LOLBins,可以从计算机本身(mshta.exe,powershell.exe)或从第三方下载的LOLBins(node.exe,Windivert.dll / sys)运行。其中的相关功能驻留在脚本和shellcode中,这些脚本和shellcode几乎总是经过加密,然后解密,然后仅在内存中运行。绝不会将恶意可执行文件写入磁盘。”
在这种恶意软件的情况下,它将安装Node.exe和WinDivert作为其LOLBins。这些都是合法的应用程序:如Microsoft所说,前者是“无数Web应用程序使用的流行Node.js框架的Windows实现”,而后者是“强大的网络数据包捕获和处理实用程序”。两者通常都是无害的,但是它们的功能允许Nodersok的创建者建立其无文件恶意软件。
微软表示,它在7月中旬看到了Nodersok的第一个指标,并且“过去几周来它一直在缠着成千上万台机器,大多数目标都在美国和欧洲。”大部分受影响的系统是消费类设备。思科Talos表示,它相信该恶意软件“目前正在积极开发中”,因为它“已经观察到有多个版本的装载程序正在用于安装”带有两个名称的恶意软件。
恶意软件的名称并不是微软和思科Talos唯一同意的事情。尽管他们同意Nodersok / Divergent通过恶意广告进行传播,从而迫使将其下载到可以安装所需的LOLBins的系统上,但它们在恶意软件的用途上却有所不同。微软认为这是为了中继恶意流量。Cisco Talos声称该恶意软件的运营商希望将其用于点击欺诈。可以在公司的披露中找到更多信息。