恶意软件DarkGate通过Samba文件共用文件夹散布
支付動態 · 2024-07-17

研究人员针对发生在今年3月至4月的DarkGate攻击行动提出警告,指出这波攻击最为不同之处在于,对方使用公开的Samba(SMB)文件共享文件夹作为散布恶意程序的管道

然而若是用户依照指示点击打开,这个按钮实际上是超链接对象,作用是从嵌入试算表的drawing.xml.rels文件读取URL,从而向Samba(或SMB)文件共享文件夹取得VBS脚本。但除了VBS脚本,他们也看到黑客使用JavaScript文件的情况。

研究人员分析VBS脚本,当中混杂大量打印机驱动程序相关的垃圾代码,拆解后得到请求、运行下一阶段攻击的PowerShell脚本。而对于JavaScript文件的部分,对方则是使用类似的功能函数,来达到相同的目的。

这个PowerShell脚本的用途,主要是下载3个文件,用来启动以AutoHotKey打造的DarkGate。但在部分的事故当中,对方运用了少见的回避侦测手法。在其中一起事故里,PowerShell脚本会检查电脑是否存在特定的文件夹,来判断有无安装卡巴斯基杀毒软件,一旦确认电脑部署该厂牌杀毒,就会下载正牌的AutoHotKey程序来回避侦测。

不过,假如电脑并未搭配此厂牌的杀毒软件,攻击流程就会继续往下进行。PowerShell脚本会下载代表16比特代码的ASCII文本,并存储结果为BIN文件,接着利用certutil.exe将其解码,还原成AutoHotKey.exe。

值得一提的是,研究人员也在DarkGate套件当中的AutoHotKey脚本、AutoIt3脚本里,看到类似的回避侦测手法。

最终黑客滥用公用程序AutoHotKey.exe启动恶意脚本script.ahk,对于经过混淆处理的DarkGate文件test.txt进行还原,并将其Shell Code加载内存内运行。

但为了防范研究人员通过沙箱或虚拟环境运行,黑客在DarkGate加入多种机制。首先,该恶意程序会侦测处理器信息的机制,再者,则是通过侦测特定的文件夹路径,确认电脑运行的杀毒软件,进而避免触发相关侦测机制。

再者,攻击者会扫描电脑正在运行的处理进程,确认是否存在恶意程序分析工具、逆向工具、调试工具,以及与虚拟化环境相关的公用程序。完成后他们会将上述侦察结果并入DarkGate的组态配置当中,从而调整恶意程序的运作方式,以便更加隐密地埋伏在受害电脑。

而对于隐匿攻击流量的部分,研究人员指出,对方虽然使用未加密的HTTP请求进行C2通信,但数据经过Base64编码处理。经过拆解、还原流量内容,他们察觉有数据通过这种手法外传的迹象。此外,攻击者也有可能借由DarkGate散布其他恶意软件。

热门文章
亚洲顶尖游戏供应商多寶游戏 DB GAMING,开创亚洲市场的唯一首选
广告营销
越南博彩管控逐步放宽,惟本土需求仍显乏力
东南亚资讯
巴西拟将博彩税率提高至24% 税收将用于社保和医疗领域
游戏风向
张侨伟参议员排除全面禁止,敦促菲律宾规范网络赌博
东南亚资讯
密西西比州众议院委员会推进提议增加赌场税的法案
游戏风向
2027 Global Game Connect(GGC)斯里兰卡招商全面开启!业务人脉尽在掌握!
灰度头条
准备好了将你的收益最大化吗?尝试ProPush.me Constructor!
广告营销
BETFAIR 网络攻击80万用户资料泄露
游戏风向
PropellerAds 分享了新的 iGaming 案例研究:在 3 个月实现 97,674 次安装和 12,701 笔存款
广告营销
斯里兰卡博弈产业大转型,官方:剑指南亚拉斯维加斯
游戏风向
Zenith携手HUIDU,冠名赞助2026年世界杯嘉年华官方巡回活动
线上游戏
JILI 宣布与全球板球传奇 AB de Villiers(ABD)达成重磅战略合作
体育游戏
哈萨克斯坦计划对在线赌场促销活动进行处罚
游戏风向
超级PAC筹资4800万美元:体育博彩势力加码
游戏风向
亚洲游戏市场观察:15大市场热门游戏与用户趋势
线上游戏
首页
游戏
合作
发现
我的