DarkGate最新攻击样本攻击链详细分析
2024-10-30 16:41:0 Author: mp.weixin.qq.com(查看原文) 阅读量:5 收藏

安全分析与研究

专注于全球恶意软件的分析与研究

前言概述

原文首发出处:

https://xz.aliyun.com/t/14537

先知社区 作者:熊猫正正

DarkGate恶意软件于2018年首次被曝光,它是一款商业加载器,其功能包括下载文件并执行到内存、隐藏虚拟网络计算模块、键盘记录、信息窃取和权限升级等,一般使用合法的AutoIt程序加载运行AutoIt加密脚本。

DarkGate由作者RastaFarEye开发,在俄语地下网络犯罪论坛推广出售,通过订阅模式提供,每个月价格高达1.5万美元,尽管DarkGate在2018年才开始流行,2023年RastaFarEye发布了DarkGate V4版本,同年十月发布DarkGate V5版本,最新的DarkGate版本为V6版本,该恶意软件因其功能完善,具有一定的免杀检测逃避机制,以及不断融入新的技术,开发新的功能,最近几年DarkGate恶意软件受欢迎程度与日俱增,保持业界领先地位。

最近一段时间,DarkGate攻击活动非常频繁,笔者针对DarkGate最新的一批攻击样本整个攻击链进行了详细分析,供大家参考,有兴趣的朋友可以去网上下载对应的样本,自己动手调试,深入学习一下,应该可以学到不少东西。

详细分析

1.初始样本为一个HTML文件,打开之后,如下所示:

2.点击How to fix之后,界面变成如下所示:

3.按照上面的提示进行操作,如下所示:

4.执行的CMD命令内容,如下所示:

5.下载后的HTA样本,内容如下所示:

6.调用PowerShell执行脚本,从远程服务器上下载恶意脚本,如下所示:

7.下载的恶意脚本,内容如下所示:

8.创建目录,然后从远程服务器上下载恶意压缩包文件,解压缩文件到创建的目录,并启动程序,设置目录为隐藏属性,如下所示:

9.通过Autoit3.exe调用script.a3x文件,script.a3x文件内容包含AutoIt脚本的特征字符串AU3!EA06,如下所示:

10.提取script.a3x中的AutoIt脚本之后,如下所示:

11.AutoIt脚本通过执行解密出来的恶意代码,在内存中加载执行解密出来的ShellCode代码,如下所示:

12.解密出来的ShellCode代码,如下所示:

13.动态调试ShellCode代码,获取相关函数地址,如下所示:

14.跳转执行到解密出来的PayLoad代码,如下所示:

15.PayLoad的入口点代码,如下所示:

16.解密出来的PayLoad是一个Delphi编写的程序,编译时间被修改了,如下所示:

17.通过分析发现解密出来的Payload就是DarkGate恶意软件加载器程序,该加载器代码与此前发现的DarkGate加载器代码结构基本一致,如下所示:

18.通过获取程序命令行参数,来判断程序是否为人为执行的,可能是反沙箱操作,如下所示:

19.如果发现是人为执行的,则弹出提示对话框,然后退出程序,如下所示:

20.获取操作系统键盘信息,如下所示:

21.检测操作系统版本及启动信息,如下所示:

22.获取磁盘剩余空间,如下所示:

23.查询HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\RTL注册表 FPUMaskValue的值,来确定此环境下是否能支持 Delphi 程序的运行,如下所示:

24.读取autoit脚本内容,然后在内存中解密出DarkGate主体程序,如下所示:

25.解密出来的DarkGate主体程序,也是Delphi编写,编译时间也被修改了,如下所示:

26.DarkGate主程序版本号为6.5.9,如下所示:

27.生成LNK快捷方式文件,并设置自启动项,如下所示:

28.LNK快捷方式命令行,通过DarkGate恶意软件加载器加载AutoIt恶意脚本,如下所示:

29.在指定目录下生成DarkGate恶意软件加载器和AutoIt恶意脚本,如下所示:

30.生成的文件,如下所示:

31.检测系统上的安全软件信息,相关安全软件目录列表,如下所示:

32.收集主机系统相关目录的数据,如下所示:

33.键盘记录功能,如下所示:

34.获取系统剪切板信息,后面来判断是否为bitcoin地址,如下所示:

35.解密出DarkGate配置相关信息,如下所示:

36.与远程服务器域名flexiblemaria.com进行通信,如下所示:

37.DarkGate整体的功能还是比较完善的,就不一一列举了,而且该恶意软件一直在更新维护,功能会越来越完善,相关的c2通信指令,如下所示:

上面的c2命令,具体的可以去参考DarkGate恶意软件介绍,到这里DarkGate最新攻击样本的整个攻击链样本就分析完了,最近活跃的一批DarkGate最新攻击活动基本与上面的攻击链一样。

威胁情报

总结结尾

黑客组织利用各种恶意软件进行的各种攻击活动已经无处不在,防不胜防,很多系统可能已经被感染了各种恶意软件,全球各地每天都在发生各种恶意软件攻击活动,黑客组织一直在持续更新自己的攻击样本以及攻击技术,不断有企业被攻击,这些黑客组织从来没有停止过攻击活动,非常活跃,新的恶意软件层出不穷,旧的恶意软件又不断更新,需要时刻警惕,可能一不小心就被安装了某个恶意软件。

安全分析与研究,专注于全球恶意软件的分析与研究,追踪全球黑客组织攻击活动,欢迎大家关注,获取全球最新的黑客组织攻击事件威胁情报。

王正

笔名:熊猫正正

恶意软件研究员

长期专注于全球恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、高端APT样本都有深入的分析与研究


文章来源: https://mp.weixin.qq.com/s?__biz=MzA4ODEyODA3MQ==&mid=2247489341&idx=1&sn=9fd04e3b13e688b5062bbe735e62ad4c&chksm=902fb815a7583103a83542f243429fcf18e0a08576f8623fe753e6ff4b09f98ce24ce5a8c532&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh