由于无文件攻击不感染设备上的任何文件,也不在硬盘上留下痕迹,仅通过合法工具展开一连串的感染行动。
Nodersok的开端始于使用者借助点选或浏览恶意广告,而下载与执行一个HTML程序(HTA),而藏在该HTA文件的JavaScript代码,就会从C&C服务器下载另一个JavaScript文件。接着下载含有PowerShell指令但被加密的MP4文件,解密后利用PowerShell指令,来下载可关闭Windows Defender Antivirus的模块及其它模块,最后留下的是能把受害电脑变成代理人、基于Node.JS框架的JavaScript模块。
微软表示,Nodersok与Astaroth一样,感染链的每个步骤都只在合法的工具上执行,不管是机器内建的mshta.exe与powershell.exe,或者是自第三方网站下载的node.exe及Windivert.dll/sys,而伴随这些脚本程序或Shellcodes出现的功能,都是以加密的形式出现,之后再行解密,而且仅在内存中执行,并没有任何恶意执行代码被写入硬盘。
假如删除Nodersok所借道的合法工具,那么真正的恶意文件只有一开始的HTA文件、最后的JavaScript模块,以及大量的加密文件。
微软是在今年7月中发现Nodersok攻击行动的,由于侦测到mshta.exe的使用出现异常而展开调查。现在Nodersok的主要目标锁定在美国和欧洲的一般消费者身上。