一波未平一波又起:新型恶意软件已感染数千Windows系统计算机
继前阵子的Windows更新反成破坏风波后,这几天Windows系统又成为了焦点,事因微软以及网络安全团队思科Talos(Cisco Talos)同时发现一个针对Windwos系统的新型恶意软件。
Nodersok/Divergent攻击示意图(图片来源:The Hacker News)
这个恶意软件目前有两个名字,一个是微软起的「Nodersok」,一个是由思科Talos起的「Divergent」。与大部分恶意软件一样,这个恶意软件也是透过钓鱼连接来传播的,但与以往的不同的是,这个恶意软件是透过利用Node.exe及WinDivert这两个完全正规的程序来进行攻击,使得它可以避过Windows Defender的扫瞄。
Nodersok/Divergent首先尝试禁用Windows Defender的反病毒功能及Windows更新,之后透过利用漏洞来提升特权(Privilege escalation),然后连接到Cloud服务来下载Node.exe及Windivert。透过这两个程序,这个恶意软件可以被系统认为是「安全」的情况下过滤掉及篡改发送出去的网络封包,最终把受到感染的计算机变成代理。
这种透过使用正规软件程序来达到恶意目的的做法,被称为「就地取地法」(Living-off-the-land techniques),而这种攻击也是很难被探测到的。
图片来源:微软
微软表示,这个恶意软件目的是为了继续向外传送恶意流量;而思科Talos则表示它是为了进行点击欺诈而设的。
图片来源:微软
目前在欧洲及美国,已经有数以千计的计算机感染了这个恶意软件,大部分都是家用个人的装置。思科Talos认为有人还在持续发布这个恶意软件,因为他们目前观察到该恶意软件有好几个不同版本的载体。微软呼吁Windows用户目前最好避免运行.hta格式的文件。