你乘上的是列车还是彗星?
2025-1-2 07:11:0 Author: mp.weixin.qq.com(查看原文) 阅读量:6 收藏
一、背景
暗黑彗星(DarkComet)是一款自2012年起被广泛用于网络攻击的远程访问木马(RAT),由Jean-Pierre Lesueur(DarkCoderSc)开发,尽管其最初开发意图是为合法的远程控制提供便利,但因其功能全面、隐蔽性强,迅速被恶意攻击者用于非法目的,包括窃取敏感信息、远程控制受害者设备等,逐渐成为合法与非法领域的双刃剑。
暗黑彗星木马的破坏性表现在全面窃取用户数据、破坏系统功能并为进一步攻击铺路。它不仅威胁用户隐私,还可能导致系统崩溃或资源滥用,对个人、企业及机构的安全构成重大隐患,是一种危险性极高的恶意软件。
二、事件概述
临近年关,往往是病毒“冲业绩”的紧要关头,也是普通用户最容易放松警惕的时刻。奇安信病毒响应中心在进行日常全网安全巡查的时候,发现一个经典的病毒木马披上了“12306订票助手”的新装,企图在游子回家的路上下手。
经过分析发现,此伪装木马属于“暗黑彗星”家族,该家族木马的破坏性极强,能够严重威胁到用户的隐私和数据安全,以致对其所在企业造成严重损失,虽然此家族的核心木马功能并没有较大的升级,我们也对其进行简单分析和分享,以求引起用户的警觉。
那么如何分辨“你乘上的是列车还是彗星?”,我们可以通过增加对其的了解做出辨别。
三、攻击方式
暗黑彗星的传播方式隐蔽灵活,常伪装成合法驱动程序或与其他软件捆绑,通过U盘、文件共享等渠道快速扩散。一旦感染,该木马会注入目标文件,实现自我复制和持久驻留。
四、攻击载荷
此次攻击捕获的样本,隐藏在受害者“财务主管”的目录中,使用伪装成“12306订票助手.exe”文件进行社工投递,其主程序资源文件中,还包含嵌套的恶意程序拓展:

文件名

MD5

描述

12306订票助手.exe

63864C867DF293EEC275F6CCC9172604

诱饵PE程序

739418.dll

AEA6690590E9F81A30D1A5993612FD8D

资源内嵌DLL

五、样本分析

(一)Loader

从主程序的结构中可以看到,其资源文件中内嵌了.NET程序和拓展程序DLL文件。
其中的拓展程序DLL是木马监控键鼠功能文件,在后续章节中分析,而内嵌的.NET程序是实现投递伪装的关键应用,采用的是一个开源的订票助手软件。
(二)Backdoor
此次攻击使用的木马工具,在上面的介绍中已经介绍了,并非一个全新的木马,而是一个存活多年的经典病毒,恶意功能上并无特别大的更新,只是审时度势,在业务上进行了热点跟进,所以在这里就其核心功能进行简要概述,不再进行功能实现上的细节阐述。
文件感染
获取系统“文档、桌面、下载”目录,遍历查找xlsx文件,对文件进行感染,同时,也会对系统中的exe程序进行感染。
自动更新
设置定时器,创建线程定期检查更新恶意程序。
持久化
修改此注册表键“SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run”来实现开机自动运行。
远程控制
通过远程控制码执行对应功能,包含获取命令访问权限、获取屏幕截图、列出磁盘/文件、下载文件和删除文件等功能。
USB设备监控
木马具有类似蠕虫的 USB 传播功能。它会验证插入的任何驱动器上是否存在“autorun.inf”文件,此文件旨利用旧版 Windows 中更常用的 AutoRun 功能,可从可移动媒体自动启动程序。
键盘&鼠标监听
主程序释放并加载资源文件中的拓展程序DLL,监听键盘和鼠标事件,并通过创建内存共享进行跨进程通信。调用“HookOn”开启监听。

DLL扩展中执行键盘和鼠标事件的监听。

信息窃取
窃取受害者信息,发送到指定邮箱,同时会下载服务器负载文件。
六、溯源关联
在木马运行时,天擎主防已从病毒各个维度进行拦截,精准识别拦截此病毒。
天擎EDR识别出病毒,监控到其关键行为。
奇安信威胁情报中心识别出样本属于DarkKomet恶意家族。
七、总结
回顾本次分析,我们探讨了DarkComet的核心功能、运行机制以及潜在威胁。该木马通过植入后门,为攻击者提供远程控制权限,能够执行键盘鼠标事件记录、文件传输和信息窃取等操作。其伪装手段多样,常通过合法驱动程序、U盘和文件共享等渠道扩散,感染范围广泛。
你乘上的是列车还是彗星?通过此篇分享报告的阅读,相信用户安全意识提升的同时,再借助奇安信等安全厂商的安全产品检测,都能正确分辨恶意诱导文件,踏上一帆风顺的归途。
八、防护建议
奇安信病毒响应中心温馨提醒用户,提高安全意识,谨防钓鱼攻击,切勿打开社交媒体分享和邮件接收的来历不明的链接,仔细辨别发件人身份,不随意下载和点击执行未知来源的附件,不以猎奇心理点击运行未知文件,不安装非正规途径来源的应用程序,如需使用相关软件,请到官方网站和正规应用商店下载。为了更好的防护自身免受感染侵害,可选择可靠的安全软件,同时保持系统和程序的更新。
目前,基于奇安信自研的猫头鹰引擎、QADE引擎和威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、奇安信天狗漏洞攻击防护系统、天擎、天机、天守、天眼高级威胁检测系统、奇安信NGSOC(态势感知与安全运营平台)、奇安信监管类态势感知等,都已经支持对此类攻击的精确检测。
九、IOC

MD5

63864C867DF293EEC275F6CCC9172604

AEA6690590E9F81A30D1A5993612FD8D

C&C

xred.mooo.com

xred.site50.net


文章来源: https://mp.weixin.qq.com/s?__biz=MzI5Mzg5MDM3NQ==&mid=2247498213&idx=1&sn=42949367265a2dbc23de207739cc03d9&chksm=ec6989cddb1e00db9954fb69139596e13f27961dcbe361f0645d155cde2ed7017560be014d70&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh