हाल ही में, विंडोज़ पर मैलवेयर के हमले के बाद Microsoft रेड अलर्ट में चला गया था। इस बार प्रतिपक्षी एस्ट्रोथ नामक फ़ाइल रहित मैलवेयर का एक स्ट्रेन था। हमने अतीत में फ़ाइल रहित मैलवेयर को कवर किया है, इसलिए यदि आप सुनिश्चित नहीं हैं कि इसका क्या अर्थ है, तो इसका अध्ययन करना सुनिश्चित करें। संक्षेप में, यह तब होता है जब मैलवेयर अपने फाइल सिस्टम के बजाय कंप्यूटर की रैम में रहता है, जिससे इसका पता लगाना कठिन हो जाता है।
आइए देखें कि Microsoft Astaroth के बारे में क्यों तैयार है, साथ ही साथ आपको अपनी सुरक्षा के लिए क्या करना चाहिए।
Astaroth कैसे फैलता है?
Astaroth एक .LNK फ़ाइल का उपयोग करके इधर-उधर जाने का प्रबंधन करता है। यह फ़ाइल एक वेबसाइट पर अपलोड की जाती है, फिर वेबसाइट का एक लिंक एक ईमेल में भेजा जाता है।
यदि कोई लिंक पर क्लिक करता है, तो यह विंडोज़ में चलने के लिए .LNK फ़ाइल को सक्रिय करता है। यह विंडोज मैनेजमेंट इंस्ट्रुमेंटेशन कमांड-लाइन (डब्लूएमआईसी) टूल को कुछ निर्देश भेजता है। यह विंडोज के भीतर ही एक वास्तविक प्रोग्राम है, इसलिए यह निष्पादन के दौरान एंटीवायरस के तहत स्कर्ट करता है।
Astaroth तब WMIC के तहत अपनी आड़ का उपयोग करता है ताकि उसे उन सभी प्रोग्रामों को डाउनलोड करने और चलाने के लिए मजबूर किया जा सके जिन्हें Astaroth को अपना काम करने की आवश्यकता है। एक बार जब यह मैलवेयर को पूरी तरह से इकट्ठा कर लेता है, तो हमला बंद हो जाता है।
जबकि एस्ट्रोथ अपना काम करने के लिए टूल डाउनलोड करता है, वे सभी वैध सिस्टम टूल्स हैं जो विंडोज़ मूल रूप से उपयोग करता है। जैसे, यह एक एंटीवायरस के लिए इसका पता लगाना कठिन बना देता है, क्योंकि हमला अपने खिलाफ प्रमुख विंडोज प्रक्रियाओं का उपयोग करता है। यही कारण है कि इसे "फ़ाइल रहित" हमला कहा जाता है, क्योंकि कोई भी विदेशी फ़ाइल डाउनलोड और सहेजी नहीं जा रही है।
हमले की इस पद्धति में इसे एक बड़ी श्रेणी भी दी गई है:एक "लिविंग-ऑफ-द-लैंड" हमला। ऐसा इसलिए है क्योंकि वायरस तकनीकी रूप से सिस्टम में कोई नया एजेंट नहीं डाल रहा है; यह केवल पेलोड को डाउनलोड करने और निष्पादित करने के लिए पहले से मौजूद चीज़ों का उपयोग कर रहा है।
एस्टारोथ क्या करता है?
Astaroth का मुख्य लक्ष्य अधिक से अधिक जानकारी प्राप्त करना है। यह कई अटैक वैक्टर के माध्यम से ऐसा करता है। एक कीलॉगर उपयोगकर्ता द्वारा टाइप की जा रही हर चीज को ट्रैक करता है, जबकि क्लिपबोर्ड को संवेदनशील जानकारी के लिए स्कैन किया जाता है। Astaroth ऐप्स को अपने बारे में जानकारी डंप करने के लिए भी बाध्य करेगा।
आजकल अधिकांश मैलवेयर इसी तरह काम करते हैं। वायरस और मैलवेयर नुकसान करने से दूर हो गए हैं और इसके बजाय ऐसे कार्य करना चुनते हैं जो या तो डेटा की कटाई करते हैं या डेवलपर्स के लिए पैसा कमाते हैं। Astaroth इसका एक गंभीर उदाहरण है, क्योंकि इसकी फ़ाइल रहित स्थापना और कई पता लगाने के तरीके इसे एक ताकत बनाते हैं।
इस हमले से कैसे बचें
सौभाग्य से, जबकि यह रणनीति एक एंटीवायरस के लिए हमले को उठाना मुश्किल बना देती है, वास्तविक प्रारंभिक वेक्टर मानव आंखों द्वारा आसानी से देखा जा सकता है। ईमेल में आपके द्वारा क्लिक किए जाने वाले लिंक से हमेशा सावधान रहें, विशेष रूप से ऐसे लोगों से भेजे गए जिन्हें आपने पहले कभी नहीं सुना है।
फ़ाइल रहित शत्रु
फ़ाइल रहित मैलवेयर की चोरी-छिपी प्रकृति उन्हें एक गंभीर खतरा बना देती है, यहां तक कि उन लोगों के लिए भी जिनके पास एंटीवायरस स्थापित है। नवीनतम एस्ट्रोथ तरंग ने दिखाया है कि फ़ाइल रहित मैलवेयर कितना विनाशकारी हो सकता है। अब आप जानते हैं कि यह क्या है, यह क्या कर सकता है और संक्रमण से कैसे बचा जा सकता है।
क्या फ़ाइल रहित मैलवेयर आपको चिंतित करता है? हमें नीचे बताएं।