迈克菲实验室最近公布了一种名为 DarkGate 的复杂网络威胁,该威胁使用先进的策略来利用 AutoHotkey 实用程序并逃避 Microsoft Defender SmartScreen。这一发现概述了网络攻击的严重升级,展示了威胁行为者渗透和操纵系统的能力不断增强。DarkGate被识别为远程访问木马 (RAT),由于其一系列功能(包括数据盗窃、键盘记录以及在受感染设备上执行任意命令)而构成了巨大的威胁。
感染链:HTML 和 XLS 入口点
DarkGate远程访问木马通过两个主要媒介发起感染:HTML 文件和 XLS 文件。两个向量都部署相同的 shellcode 和有效负载,展示了其方法的高度复杂性。
HTML 向量:
HTML 感染始于伪装成虚假“云视图”中的 Word 文档的网络钓鱼页面。毫无戒心的用户被引诱授予权限,从而促进进一步的恶意活动。HTML 页面操纵 Windows 资源管理器的标题来显示看似合法的“onedrive.live.com”地址。此页面会导致执行 .url 文件,从而触发 VBScript 文件的下载和自动执行,利用 Windows Defender SmartScreen 中的 CVE-2023-36025 漏洞绕过安全提示。
XLS 矢量:
同样,基于 XLS 的感染会欺骗用户以正确查看文档为幌子启用内容,然后从远程服务器执行VBScript 。该脚本与 HTML 脚本一样,会继续下载并执行更多恶意组件,为 DarkGate 有效负载奠定基础。
AutoHotkey:逃避和执行的工具
DarkGate 感染链的核心是 AutoHotkey 的使用,这是一种用于自动化 Windows GUI 的强大脚本语言。通过下载并执行 AutoHotkey 脚本,攻击者可以在不被发现的情况下执行各种任务。这些脚本能够读取、写入和执行存储在看似良性文本文件中的 shellcode。这使得 DarkGate 能够将恶意代码直接注入内存,无需接触磁盘即可执行,从而逃避传统防病毒检测。
持久性和网络渗透
DarkGate通过在启动文件夹中创建快捷方式来确保其在受感染计算机上的持久性,该快捷方式会在每次重新启动时重新安装恶意软件。这种方法是隐秘的,可确保对受感染系统的持续控制。与 DarkGate 相关的网络活动包括将数据渗漏到远程服务器,这凸显了威胁不仅能够扰乱运营,还能够窃取敏感信息。
防御是一种多层方法
这次活动清楚地提醒我们,即使是熟悉的工具也可以用来对付我们。它还强调了分层网络安全的重要性:
-
保持警惕是关键:对异常电子邮件、意外附件和看似异常的请求保持警惕。网络钓鱼策略不断演变,因此请不要放松警惕。
-
修补至关重要:及时安装 Windows 更新和其他软件更新。
-
安全工具很重要:信誉良好的防病毒软件、端点保护和强大的电子邮件过滤可以提供额外的防线。
-
员工教育:关于识别社会工程策略的定期培训对所有员工至关重要。
原文始发于微信公众号(Ots安全):隐秘的“DarkGate”木马滥用 AutoHotkey,逃避 Defender
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论