0d394e103c0361c63f43fe2f6285538

Windows 注册表中隐藏的 DarkWatchman 恶意软件

  • 浏览次数 61417
  • 喜欢 0
  • 评分 12345

Hackernews 编译,转载请注明出处:

0d394e103c0361c63f43fe2f6285538
一种名为“DarkWatchman”的新恶意软件出现在地下网络犯罪组织中,它是一种轻量级、功能强大的 JavaScript RAT(远程访木马),与C#键盘记录器配对。
根据 Prevailion 研究人员的一份技术报告,这种新型 RAT 是由讲俄语的攻击者部署的,他们的目标主要是俄罗斯的组织。
在11月初发现了DarkWatchman的第一次踪迹,当时攻击者开始通过带有恶意ZIP附件的网络钓鱼电子邮件传播恶意软件。

 

45e0039dab6608c39fce99486b4c993
这些ZIP文件附件包含一个使用图标模拟文本文档的可执行文件。此可执行文件是一个自行安装的WinRAR归档文件,可以安装RAT和键盘记录器。

 

7b0ff91a56edc7bdb9cb639d5849856
如果打开文件,用户将看到一条陷进弹出消息,内容为“未知格式”,但实际上,有效载荷已安装在后台。
DarkWatchman是一个非常轻量级的恶意软件,JavaScript RAT的大小只有32kb,而编译后的RAT只占用了8.5kb的空间。
它利用了大量的“LotL”二进制文件、脚本和库,并采用了隐蔽的方法在模块之间传输数据。
DarkWatchman的过人之处在于它为键盘记录器使用了Windows注册表无文件存储机制。
不再将键盘记录器存储在磁盘上,而是创建一个计划任务,以便在用户每次登录Windows时启动DarkWatchman RAT。

 

4066c15ef33db195493fb94e4481416
一旦启动,Darkwatchen将执行PowerShell脚本,该脚本使用.NET CSC.exe命令编译键盘记录器,并将其启动到内存中。
“键盘记录器作为模糊化的C#源代码分发,并作为Base64编码的PowerShell命令处理和存储在注册表中。当RAT启动时,它执行这个PowerShell脚本,该脚本反过来编译键盘记录器(使用CSC)并执行它,” Privailion研究人员Matt Stafford和Sherman Smith在他们的研究报告中解释道。
键盘记录器本身不与C2通信或写入磁盘。相反,它将其键盘日志写入一个用作缓冲区的注册表项。在其运行过程中,RAT会在将记录的击键发送到C2服务器之前清除该缓冲区。

 

09273926a5b7aae0786245483c07c95
因此,注册表不仅用作隐藏编码的可执行代码的地方,而且还用作临时位置来保存窃取的数据,直到它被提取到C2。
在C2通信和基础设施方面,DarkWatchman 的操作者使用DGA(域生成算法)和10项种子列表,每天生成多达500个域。
这给了他们卓越的生存能力,同时也使得通信监控和分析变得更具挑战性。
DarkWatchman的功能如下:

  • 执行EXE文件(返回或不返回输出)
  • 加载DLL文件
  • 在命令行上执行命令
  • 执行WSH命令
  • 通过WMI执行其他命令
  • 执行PowerShell命令
  • 评估JavaScript
  • 从受害计算机将ILE上载到C2服务器
  • 远程停止并卸载RAT和键盘记录器
  • 远程更新C2服务器地址或呼叫总部超时
  • 远程更新RAT和键盘记录器
  • 将autostart JavaScript设置为在RAT启动时运行
  • C2弹性域生成算法(DGA)
  • 如果用户具有管理员权限,则会使用vssadmin.exe删除影副本

Privailion认为,DarkWatchman可能是由勒索软件集团定制的,或者是为勒索软件集团量身定做,因为它们需要为能力较弱的附属组织提供一种强大而隐蔽的工具。
该恶意软件可以远程加载额外的有效载荷,因此可以作为后续勒索软件部署的感染第一阶段。
由于DarkWatchman可以在初始感染后与攻击者控制的域通信,勒索软件操作者可以接管并部署勒索软件或直接进行文件提取。
这种方法将使分支组织的角色降级为网络渗透者,同时使RaaS操作更加实用和高效。

 

 

消息来源:BleepingComputer,译者:Zoeppo;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自HackerNews.cc ” 并附上原文链接