

研究人员针对发生在今年3月至4月的DarkGate攻击行动提出警告,指出这波攻击最为不同之处在于,对方使用公开的Samba(SMB)文件共享文件夹作为散布恶意程序的管道
然而若是用户依照指示点击打开,这个按钮实际上是超链接对象,作用是从嵌入试算表的drawing.xml.rels文件读取URL,从而向Samba(或SMB)文件共享文件夹取得VBS脚本。但除了VBS脚本,他们也看到黑客使用JavaScript文件的情况。
研究人员分析VBS脚本,当中混杂大量打印机驱动程序相关的垃圾代码,拆解后得到请求、运行下一阶段攻击的PowerShell脚本。而对于JavaScript文件的部分,对方则是使用类似的功能函数,来达到相同的目的。
这个PowerShell脚本的用途,主要是下载3个文件,用来启动以AutoHotKey打造的DarkGate。但在部分的事故当中,对方运用了少见的回避侦测手法。在其中一起事故里,PowerShell脚本会检查电脑是否存在特定的文件夹,来判断有无安装卡巴斯基杀毒软件,一旦确认电脑部署该厂牌杀毒,就会下载正牌的AutoHotKey程序来回避侦测。
不过,假如电脑并未搭配此厂牌的杀毒软件,攻击流程就会继续往下进行。PowerShell脚本会下载代表16比特代码的ASCII文本,并存储结果为BIN文件,接着利用certutil.exe将其解码,还原成AutoHotKey.exe。
值得一提的是,研究人员也在DarkGate套件当中的AutoHotKey脚本、AutoIt3脚本里,看到类似的回避侦测手法。
最终黑客滥用公用程序AutoHotKey.exe启动恶意脚本script.ahk,对于经过混淆处理的DarkGate文件test.txt进行还原,并将其Shell Code加载内存内运行。
但为了防范研究人员通过沙箱或虚拟环境运行,黑客在DarkGate加入多种机制。首先,该恶意程序会侦测处理器信息的机制,再者,则是通过侦测特定的文件夹路径,确认电脑运行的杀毒软件,进而避免触发相关侦测机制。
再者,攻击者会扫描电脑正在运行的处理进程,确认是否存在恶意程序分析工具、逆向工具、调试工具,以及与虚拟化环境相关的公用程序。完成后他们会将上述侦察结果并入DarkGate的组态配置当中,从而调整恶意程序的运作方式,以便更加隐密地埋伏在受害电脑。
而对于隐匿攻击流量的部分,研究人员指出,对方虽然使用未加密的HTTP请求进行C2通信,但数据经过Base64编码处理。经过拆解、还原流量内容,他们察觉有数据通过这种手法外传的迹象。此外,攻击者也有可能借由DarkGate散布其他恶意软件。