已經觀察到一種新的基于JAVAScript的遠程訪問木馬(RAT)利用社會工程學傳播,采用隱蔽的"無文件"技術作為其逃避檢測和分析的方法。
該惡意軟件由Prevalyion的對抗性反情報團隊(PACT)的研究人員稱為DarkWatchman,它使用彈性域生成算法(DGA)來識別其命令和控制(C2)基礎架構,并利用windows注冊表進行所有存儲操作,從而使其能夠繞過反惡意軟件引擎。
研究人員Matt Stafford和Sherman Smith說,RAT"利用新穎的方法進行無文件持久性,系統活動和動態運行時功能,如自我更新和重新編譯,"并補充說它"代表了無文件惡意軟件技術的演變,因為它將注冊表用于幾乎所有臨時和永久存儲,因此永遠不會向磁盤寫入任何東西,使其能夠在大多數安全工具的檢測閾值以下或附近運行。
Prevailion表示,俄羅斯一家未具名的企業規模組織是目標受害者之一,從2021年11月12日開始確定了許多惡意軟件工件。鑒于其后門和持久性功能,PACT團隊評估DarkWatchman可能是勒索軟件組使用的初始訪問和偵察工具。
這種新穎發展的一個有趣的結果是,它完全避免了勒索軟件運營商招募關聯公司的需要,這些關聯公司通常負責丟棄文件鎖定惡意軟件并處理文件泄露。使用DarkWatchman作為勒索軟件部署的前奏,還可以使勒索軟件的核心開發人員能夠更好地監督操作,而不僅僅是談判贖金。
DarkWatchman通過魚叉式網絡釣魚電子郵件分發,偽裝成俄羅斯貨運公司Pony Express交付的貨物的"免費存儲到期通知",為進一步的惡意活動提供了一個隱蔽的網關。這些電子郵件以ZIP存檔的形式附有所謂的發票,而該存檔又包含感染Windows系統所需的有效負載。
新穎的RAT既是無文件的JavaScript RAT,也是基于C#的鍵盤記錄器,后者存儲在注冊表中以避免檢測。這兩個組件也都非常輕巧。惡意JavaScript代碼只需要大約32kb,而鍵盤記錄器幾乎只注冊8.5kb。
"將二進制文件作為編碼文本存儲在注冊表中意味著DarkWatchman是持久的,但其可執行文件永遠不會(永久)寫入磁盤;這也意味著DarkWatchman的運營商可以在每次執行惡意軟件時更新(或替換)惡意軟件,"研究人員說。
安裝后,DarkWatchman可以執行任意二進制文件,加載DLL文件,運行JavaScript代碼和PowerShell命令,將文件上傳到遠程服務器,更新自身,甚至從受感染的機器上卸載RAT和鍵盤記錄器。JavaScript 例程還負責通過創建在每次用戶登錄時運行惡意軟件的計劃任務來建立持久性。
"鍵盤記錄器本身不與C2通信或寫入磁盤,"研究人員說。"相反,它會將其注冊表項寫入注冊表項,并將其用作緩沖區。在其操作過程中,RAT會刮擦并清除此緩沖區,然后將記錄的擊鍵傳輸到C2服務器。
DarkWatchman尚未被歸因于黑客組織,但Prevaition將船員描述為"有能力的威脅行為者",并指出該惡意軟件專門針對位于俄羅斯的受害者以及在源代碼樣本中發現的印刷錯誤和拼寫錯誤,這增加了操作員可能不是母語為英語的可能性。
"DarkWatchman的作者似乎發現并利用Windows注冊表的復雜性和不透明度在安全工具和分析師的檢測閾值以下或附近工作,"研究人員總結道。"注冊表更改是司空見慣的,并且很難識別哪些更改是異常的或超出正常操作系統和軟件功能的范圍。
