跳转到帖子
诚邀seo站长,短信,劫持,渗透,代理,推广团队,博主,主播,各种资源流量大佬合作共赢【站外广告】

游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

TheHackerWorld官方

Windows 注册表中隐藏的 DarkWatchman 恶意软件

CHT丨情报收集
CHT丨情报收集
世界黑客新闻动态

精选回复

发布于

Hackernews 编译,转载请注明出处:

http://hackernews.cc/wp-content/uploads/2021/12/0d394e103c0361c63f43fe2f6285538-600x338.jpg
一种名为“DarkWatchman”的新恶意软件出现在地下网络犯罪组织中,它是一种轻量级、功能强大的 JavaScript RAT(远程访木马),与C#键盘记录器配对。
根据 Prevailion 研究人员的一份技术报告,这种新型 RAT 是由讲俄语的攻击者部署的,他们的目标主要是俄罗斯的组织。
在11月初发现了DarkWatchman的第一次踪迹,当时攻击者开始通过带有恶意ZIP附件的网络钓鱼电子邮件传播恶意软件。

 

http://hackernews.cc/wp-content/uploads/2021/12/45e0039dab6608c39fce99486b4c993-600x320.png
这些ZIP文件附件包含一个使用图标模拟文本文档的可执行文件。此可执行文件是一个自行安装的WinRAR归档文件,可以安装RAT和键盘记录器。

 

http://hackernews.cc/wp-content/uploads/2021/12/7b0ff91a56edc7bdb9cb639d5849856-600x161.png
如果打开文件,用户将看到一条陷进弹出消息,内容为“未知格式”,但实际上,有效载荷已安装在后台。
DarkWatchman是一个非常轻量级的恶意软件,JavaScript RAT的大小只有32kb,而编译后的RAT只占用了8.5kb的空间。
它利用了大量的“LotL”二进制文件、脚本和库,并采用了隐蔽的方法在模块之间传输数据。
DarkWatchman的过人之处在于它为键盘记录器使用了Windows注册表无文件存储机制。
不再将键盘记录器存储在磁盘上,而是创建一个计划任务,以便在用户每次登录Windows时启动DarkWatchman RAT。

 

http://hackernews.cc/wp-content/uploads/2021/12/4066c15ef33db195493fb94e4481416-600x319.png
一旦启动,Darkwatchen将执行PowerShell脚本,该脚本使用.NET CSC.exe命令编译键盘记录器,并将其启动到内存中。
“键盘记录器作为模糊化的C#源代码分发,并作为Base64编码的PowerShell命令处理和存储在注册表中。当RAT启动时,它执行这个PowerShell脚本,该脚本反过来编译键盘记录器(使用CSC)并执行它,” Privailion研究人员Matt Stafford和Sherman Smith在他们的研究报告中解释道。
键盘记录器本身不与C2通信或写入磁盘。相反,它将其键盘日志写入一个用作缓冲区的注册表项。在其运行过程中,RAT会在将记录的击键发送到C2服务器之前清除该缓冲区。

 

http://hackernews.cc/wp-content/uploads/2021/12/09273926a5b7aae0786245483c07c95-600x525.png
因此,注册表不仅用作隐藏编码的可执行代码的地方,而且还用作临时位置来保存窃取的数据,直到它被提取到C2。
在C2通信和基础设施方面,DarkWatchman 的操作者使用DGA(域生成算法)和10项种子列表,每天生成多达500个域。
这给了他们卓越的生存能力,同时也使得通信监控和分析变得更具挑战性。
DarkWatchman的功能如下:

  • 执行EXE文件(返回或不返回输出)
  • 加载DLL文件
  • 在命令行上执行命令
  • 执行WSH命令
  • 通过WMI执行其他命令
  • 执行PowerShell命令
  • 评估JavaScript
  • 从受害计算机将ILE上载到C2服务器
  • 远程停止并卸载RAT和键盘记录器
  • 远程更新C2服务器地址或呼叫总部超时
  • 远程更新RAT和键盘记录器
  • 将autostart JavaScript设置为在RAT启动时运行
  • C2弹性域生成算法(DGA)
  • 如果用户具有管理员权限,则会使用vssadmin.exe删除影副本

Privailion认为,DarkWatchman可能是由勒索软件集团定制的,或者是为勒索软件集团量身定做,因为它们需要为能力较弱的附属组织提供一种强大而隐蔽的工具。
该恶意软件可以远程加载额外的有效载荷,因此可以作为后续勒索软件部署的感染第一阶段。
由于DarkWatchman可以在初始感染后与攻击者控制的域通信,勒索软件操作者可以接管并部署勒索软件或直接进行文件提取。
这种方法将使分支组织的角色降级为网络渗透者,同时使RaaS操作更加实用和高效。

 

 

消息来源:BleepingComputer,译者:Zoeppo;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自HackerNews.cc ” 并附上原文链接

转到主题列表

最近浏览 0

  • 没有会员查看此页面。