【威胁分析】深入解析DarkGate:探究感染链及其功能

admin 2024年10月10日17:36:50评论16 views字数 15126阅读50分25秒阅读模式

随着网络威胁环境的不断变化,一些积极的进展也越来越频繁地出现。执法机构追踪恶意软件开发者、威胁行为者以及论坛管理者,并成功控制指挥控制服务器、破坏恶意软件分发网络。在这种动态环境中,新型攻击者的涌现以及现有威胁方的迅速适应已成为常见现象。

DarkGate概览

在不断演变的网络威胁环境中,威胁行为者常常进行品牌重塑并修改恶意软件家族。最近,DarkGate的迅速崛起便是一个例证,其传播量在Qbot基础设施被摧毁后激增,反映了网络威胁不断变化的特性。根据Cofense的报告,DarkGate和PikaBot网络钓鱼活动之间存在相似之处,这些活动的手法让人联想到Qakbot,这暗示了现有技术可能存在未知的关联或适应性改进,突显出现代网络威胁的复杂性。

DarkGate作为一种加载器型恶意软件和远程访问木马(RAT)双重工具,能够执行多种恶意操作,例如窃取受害者的敏感数据及部署加密货币挖矿程序。其开发者在多个论坛中使用“RastaFarEye”这一别名。自2017年起,DarkGate便不断开发演变,并通过“恶意软件即服务”(MaaS)模式运作。DarkGate主要通过网络钓鱼分发,通常使用浏览器更新主题作为诱饵,同时也通过恶意广告和SEO投毒传播,具体分发方式依赖于威胁行为者的偏好。

DarkGate的一个独特之处在于它使用Autolt,这是一种用于自动化Windows图形用户界面(GUI)和通用脚本任务的脚本语言。通过Autolt,用户可以编写脚本来自动化执行键盘输入、鼠标移动及窗口命令等任务,特别适用于软件安装、系统管理和任务自动化等场景。

投放方式

让我们深入探讨DarkGate最常用的几种投放手法,以便更好地了解其常见的恶意软件分发方法。

网络钓鱼

DarkGate(也称为MehCrypter)主要通过网络钓鱼传播,通常采用特定主题以便进行欺骗性操作。威胁行为者有策略地使用钓鱼链接,将用户重定向至流量分发系统(TDS),以下载恶意软件。2023年10月,Proofpoint观察到一种钓鱼方案,其中威胁行为者将用户引导至Ketaro TDS。在这个过程中,受害者收到一个互联网快捷方式(.URL)文件,点击后会下载一个压缩的VBS脚本。

另一种策略则利用伪造的浏览器更新主题。如果用户点击了假冒的浏览器更新按钮,类似的流程会启动,使用TDS来分发恶意负载。

2023年10月,PaloAlto Networks发现DarkGate恶意软件通过Microsoft Teams传播。在这种情况下,攻击者伪装成目标组织的CEO,向受害者发送Teams邀请作为欺骗手段。AT&T在2024年1月继续观察到使用Microsoft Teams进行钓鱼的趋势。

恶意广告

恶意广告(Malvertising)是一种通过在线广告传播恶意软件的技术,攻击者使用欺骗性广告,这些广告出现在合法网站上,利用浏览器漏洞,将用户引导至恶意网站或在用户点击时启动恶意软件下载。

威胁行为者借助与远程管理工具相关的主题,特别是假冒Advanced IP Scanner(在IT管理员中广泛使用的工具)进行欺骗。当受害者与这些恶意广告互动时,他们会被引导至一个幌子网站,这是攻击者的欺骗策略的一部分。

【威胁分析】深入解析DarkGate:探究感染链及其功能

SEO投毒

SEO投毒是一种操纵搜索结果以推广恶意内容的技术,旨在提升伪装成合法网站的恶意网站的排名。与通过受感染的在线广告传播恶意软件的恶意广告(Malvertising)不同,SEO投毒通过搜索引擎引导用户访问恶意网站,从而感染用户设备。

根据Malwarebytes的报道,威胁行为者利用Advanced IP Scanner主题进行SEO投毒,以分发DarkGate恶意软件。这一策略与恶意广告活动类似,同样以Advanced IP Scanner为主题。通过SEO投毒,攻击者试图操纵搜索结果,将用户引导至与DarkGate恶意软件分发相关的恶意网站。

【威胁分析】深入解析DarkGate:探究感染链及其功能

综上所述,任何威胁行为者或黑客都可以获得DarkGate恶意软件,并采用多种分发技术。然而,从以上观察可以推测,攻击者有特定目标群体——特别是管理员。这在他们利用扫描工具主题进行钓鱼尝试中显而易见,旨在通过这种方式获得初步访问权限。

DarkGate感染链

DarkGate还可以用作加载器恶意软件,使其初始负载能够以多种文件格式呈现。已知的一些文件格式包括.msi、.lnk和.vbs。接下来,我们将探讨DarkGate典型的感染过程。以下是通过多次样本分析观察到的DarkGate感染链高层概览,在文章发布后的未来几天内,这些可能会有所变化。

感染链

  1. 初始负载交付 DarkGate首先向受害者分发多种形式的初始访问负载,如.msi、.lnk、.vbs、.js等。用户收到这些文件后,会使用与文件类型关联的默认应用程序来执行这些负载。
  2. 执行初始访问负载 在初始负载执行后,DarkGate会使用“基于现有二进制文件”(Living Off The Land Binaries,LOLBins)的方法,投递下一阶段的负载。
  3. 投递的负载表现 投递的负载可能呈现为归档文件,如.cab文件,从中提取出后续阶段的负载。这些阶段通常包含外部二进制文件及其相关的恶意动态链接库(DLL),以便实现DLL旁加载。这些文件通常被存放在 %AppData%Temp[随机文件夹名]files 目录下。作为另一种方式,从第三阶段投递的负载会在执行后触发可执行文件的下载。
  4. DLL旁加载与Autoit3脚本 随着DLL旁加载,DarkGate会投递Autoit3二进制文件和Autoit脚本。另一种情况是,投递的可执行文件在执行后重新与指挥控制(C2)服务器建立连接,以便传送Autoit3二进制文件和Autoit3脚本。
  5. 调用Autoit3执行恶意脚本 接下来,DarkGate调用Autoit3.exe来执行恶意的Autoit脚本,这些脚本包含用于提取和部署加载器的指令。
  6. 部署主模块 加载器执行完毕后,DarkGate最终部署其主要模块。
【威胁分析】深入解析DarkGate:探究感染链及其功能

使用MSI的感染链

我们从MalwareBazaar获取了一个MSI(Microsoft Installer)文件样本,以说明以下分析:

【威胁分析】深入解析DarkGate:探究感染链及其功能

在通过msiexec执行负载后,它会继续安装,并向用户展示iTunes的安装过程。

【威胁分析】深入解析DarkGate:探究感染链及其功能

在后台,它会创建一个临时文件夹并投递一个归档文件(如下截图所示)。文件夹创建后,使用icacls.exe设置目录的完整性级别为“高”。

【威胁分析】深入解析DarkGate:探究感染链及其功能

.cab(又称Cabinet)是一种Windows的归档文件格式。投递的files.cab文件会通过expand.exe二进制文件解压缩:

C:Windowssystem32EXPAND.EXE -R files.cab -F:* files

iTunesHelper二进制文件及其DLL文件会从归档中提取出来。随后,从归档中提取的iTunesHelper.exe文件会被执行,从而加载恶意DLL文件,该文件进一步投递Autoit及对应的.au3脚本文件。

【威胁分析】深入解析DarkGate:探究感染链及其功能

按照这一序列,AutoIt脚本文件通过AutoIt3执行。

【威胁分析】深入解析DarkGate:探究感染链及其功能

该脚本包含收集系统信息的指令,例如Windows产品ID和处理器详细信息,以便进行进一步的发现操作。

【威胁分析】深入解析DarkGate:探究感染链及其功能

接下来,会在C:ProgramData[随机名称]目录下创建Autoit3二进制文件及其脚本文件的备份,以便在后续阶段实现持久化。

【威胁分析】深入解析DarkGate:探究感染链及其功能

之后,AutoIt3执行恶意脚本以发现系统上的安全软件实例。

【威胁分析】深入解析DarkGate:探究感染链及其功能

在分析AutoIt脚本时,我们提取了部分指令。脚本包含AutoIt3的DllCall函数(显示在注释中)。下方的十六进制编码值是实际指令,注释部分提供了参考。可以看到,AutoIt的DllCall函数用于从kernel32.dll库中调用VirtualProtect函数,以修改内存保护属性,便于代码注入。

【威胁分析】深入解析DarkGate:探究感染链及其功能

如果未检测到安全软件,会对注册表键StartMenuExperienceHost的值进行修改,该键位于:

HKLMSystemCurrentControlSetServicesbamStateUserSettingsS-1-5-21-1984999317-268798495-3946344884-500Microsoft.Windows.StartMenuExperienceHost_cw5n1h2txyewy
【威胁分析】深入解析DarkGate:探究感染链及其功能

修改后,StartMenuExperienceHost进程启动MicrosoftEdgeUpdateCore.exe进程,并在此过程中进行进程注入。

接下来,从注入的进程中再次进行安全软件发现。随后,将之前创建的AutoIt3及其脚本的备份放置在RUN注册表项中,以便持久化。此外,过程还会与指挥控制(C2)服务器建立连接。

【威胁分析】深入解析DarkGate:探究感染链及其功能

最后,通过命令提示符删除初始文件,来移除痕迹。

【威胁分析】深入解析DarkGate:探究感染链及其功能

使用LOLBINs的感染链

接下来,我们将研究另一种方法,分析另一个.msi样本。

【威胁分析】深入解析DarkGate:探究感染链及其功能

与前述类似,我们通过msiexec执行了负载。执行后,我们观察到以下磁盘操作:在%APPDATA%MSI14499目录中创建多个文件,包括Microsoft.Deployment.WindowsInstaller.dllWixSharp.dllWixSharp.UI.dll

此外,在通过msiexec.exe安装应用程序过程中,还在C:WindowsInstaller文件夹中投递了伪装成.tmp的DLL文件。

随后调用rundll32执行这些DLL文件的恶意功能,调用相关导出函数,因此在下面的进程树中显示了多次rundll32.exe的调用。

【威胁分析】深入解析DarkGate:探究感染链及其功能

其中一个DLL文件包含从C2服务器下载负载的指令,因此当该DLL文件通过rundll32.exe执行时,会连接到C2服务器并下载另一个可执行文件。

【威胁分析】深入解析DarkGate:探究感染链及其功能

投递的可执行文件pm320240221_214000.exe似乎是一个加载器,其行为将在后续部分中详细说明。

【威胁分析】深入解析DarkGate:探究感染链及其功能

执行该二进制文件后,它会修改互联网设置(如下所示)。

【威胁分析】深入解析DarkGate:探究感染链及其功能

然后它尝试连接到C2服务器以投递autoit3.exe及其恶意脚本文件。不过,由于我们分析期间C2服务器处于离线状态,因此未能观察到此行为。

【威胁分析】深入解析DarkGate:探究感染链及其功能

但在VirusTotal上观察到的网络连接显示,该二进制文件连接到C2服务器并下载了autoit3.exe二进制文件及负载脚本文件。

DarkGate功能

让我们进一步分析DarkGate主模块的配置。这些功能的执行可能取决于攻击者的具体目标。

安全软件检测

在执行恶意功能之前,DarkGate及其加载器会进行初步的安全检查,尝试检测系统中是否存在特定的文件夹和进程。以下是主要的安全软件和杀毒程序:

  • Bitdefender
  • Avast
  • AVG
  • Kaspersky EndPoint Security
  • Kaspersky
  • Eset - Nod32
  • Avira
  • Norton
  • Symantec
  • Trend Micro
  • McAfee
  • G DATA
  • SUPER AntiSpyware
  • Comodo
  • Malwarebytes
  • ByteFence
  • Spybot - Search & Destroy
  • 360 Total Security
  • Total AV
  • IObit Malware Fighter
  • Panda Security
  • Malwarebytes
  • Emsisoft
  • Quick Heal
  • F-Secure
  • Sophos

横向移动

修改终端设置

我们分析的样本包含用于修改网络配置的代码,将WS-Management的TrustedHosts值设置为“127.0.0.2”。然后修改终端设置,覆盖默认的RDP设置及其相关的安全配置。

【威胁分析】深入解析DarkGate:探究感染链及其功能

创建并存储远程凭证

随着RDP相关设置的更改,使用cmdkey命令创建并存储RDP凭证,例如,用于在访问网络资源或服务时提供自动身份验证。

【威胁分析】深入解析DarkGate:探究感染链及其功能

执行Psexec

DarkGate配置为创建用户配置文件,以便在受感染的网络中进行横向移动。它利用Psexec远程执行进程,便于在网络系统间传播。

【威胁分析】深入解析DarkGate:探究感染链及其功能

凭证访问

DarkGate具有从受害者系统提取凭证的能力。在分析样本时,我们注意到其配置专门针对提取浏览器(如Edge、Firefox、Chrome、Brave和Opera)的凭证,尤其是存储浏览器Cookie的文件。

示例目标文件路径包括:

  • Opera SoftwareOpera GX StableNetworkCookies
  • Opera SoftwareOpera StableCookies
  • BraveSoftwareBrave-BrowserUser DataDefaultNetworkCookies
  • MicrosoftEdgeUser DataDefaultNetworkCookies

除了针对Web浏览器的功能,我们还观察到DarkGate配置了执行Nirsoft流行的密码提取工具,这些工具包括MailPassView(用于从各种邮件客户端中提取凭证)和WebPassView(用于从浏览器中提取凭证,如Chrome、Firefox、Opera和IE)。

此外,恶意软件还利用Windows内置的cmdkey工具在系统上列出并提取存储的凭证,包括网络资源、远程服务器或用户账户相关的凭证。

【威胁分析】深入解析DarkGate:探究感染链及其功能

GetKeyboardState API函数设计用于合法的键盘输入处理,但在恶意情况下,可被用作键盘记录工具。通过安装全局键盘挂钩,攻击者可以系统范围内监控按键操作。定期调用GetKeyboardState可检测按键,并将其与元数据一起记录。为了避免检测,键盘记录器可能使用加密或其他混淆技术。不过需注意,开发和部署键盘记录器未经授权是非法且不道德的。

用于恶意目的的软件

AnyDesk

DarkGate配置了在受害者系统上下载并运行AnyDesk,为威胁行为者提供远程管理功能。

【威胁分析】深入解析DarkGate:探究感染链及其功能

hVNC

除了利用AnyDesk进行远程桌面访问外,DarkGate还支持使用隐藏虚拟网络计算(hVNC)实现远程桌面访问。

【威胁分析】深入解析DarkGate:探究感染链及其功能

矿工

DarkGate可以在受害者系统中部署加密货币挖矿程序。其配置中包含检测任务管理器及Process Explorer或Process Hacker等工具的功能,以便在这些工具被检测到时停止矿工。

【威胁分析】深入解析DarkGate:探究感染链及其功能

检测

应启用的功能:

  1. Windows
    1. 进程创建及命令行审计
    2. 文件系统审计
    3. 注册表审计
  2. Windows Sysmon

用于检测初始访问负载的执行

从以上分析中可以看出,当DarkGate执行.msi初始访问负载时,会生成一系列进程。为了检测此类进程,可以简单地搜索msiexec.exe的子进程。

label="Process" label=Create 
"parent_process"="msiexec.exe" "process"=
| chart count() by user,host,"process"

分析人员可以使用通用查询,搜索由msiexec.exe生成的子进程,并应用过滤器来显示前述观察到的技术。通过筛选这些特定行为,可以更准确地检测出与DarkGate等恶意软件相关的可疑活动。

label="Process" label=Create "parent_process"="*msiexec.exe" 
"process" IN ["*cmd.exe","*icacls.exe","*expand.exe","*rundll32.exe"]
| chart count() by user,host,"process" ,command
【威胁分析】深入解析DarkGate:探究感染链及其功能

在Windows中安装应用程序时,也会生成相关的事件日志。

label=Application label=Install
event_source=MsiInstaller
| chart count() by rule_description,application
【威胁分析】深入解析DarkGate:探究感染链及其功能

除了使用MSI文件作为初始负载外,还可以使用其他文件格式,这些文件格式可通过以下警报检测:

  • 检测到WScript或CScript投递器
  • 检测到由MSHTA生成的Windows Shell进程
  • 检测到可疑的LNK文件执行

此外,可以使用以下警报来检测与DarkGate负载中使用expand.exeicacls.exe二进制文件相关的特定可疑事件:

  • 文件或文件夹权限修改
  • 检测到通过Expand进行的可疑文件解压

检测到可疑的Rundll32活动

最近的样本使用rundll32下载DarkGate加载器到系统中。分析人员可以利用此警报检测通过rundll32执行的恶意DLL文件,这些文件会将加载器下载到系统中。

label="process" label=create ("process"="*rundll32.exe" OR file="rundll32.exe"
((command="*javascript:*" command ="*.RegisterXLL*")      
OR (command="*url.dll*" (command="*OpenURL*" OR command="*FileProtocolHandler*"))      
OR (command="*zipfldr.dll*" command="*RouteTheCall*")     
OR (command="*shell32.dll*" (command="*Control_RunDLL*" OR command="*ShellExec_RunDLL*"))     
OR (command="*mshtml.dll*" command="*PrintHTML*")     
OR (command="*advpack.dll*" (command="*LaunchINFSection*" OR command="*RegisterOCX*"))     
OR ((command="*ieframe.dll*" OR command="*shdocvw.dll*"command="*OpenURL*")     
OR (command="*syssetup.dll*" command="*SetupInfObjectInstallAction*")     
OR (command="*setupapi.dll*" command="*InstallHinfSection*")     
OR (command="*pcwutl.dll*" command="*LaunchApplication*")     
OR (command="*dfshim.dll*" (command="*ShOpenVerbApplication*" OR command="*ShOpenVerbShortcut*"))     
OR ((command="*scrobj.dll*" command="*GenerateTypeLib*") OR (command="*shimgvw.dll*" command="*ImageView_Fullscreen*"command="*http*")     
OR (command="*comsvcs.dll*" command="*MiniDump*")  
OR  (command IN ["*C:Perflogs*","*C:ProgramData*","*AppDataLocalTemp*","*C:UsersPublic*","*C:WindowsInstaller*"]))     
-((command="*shell32.dll,Control_RunDLL desk.cpl,screensaver,@screensaver*")     
OR (parent_process="C:WindowsSystem32control.exe" command="*.cpl*"     
(parent_command=*  parent_command="*.cpl*" command="*Shell32.dll*" command="*Control_RunDLL*")     
OR (command="*rundll32*Shell32.dll,Control_RunDLL*C:WindowsSystem32*") ))      
| chart count() by command
【威胁分析】深入解析DarkGate:探究感染链及其功能

检测AutoIT3及脚本文件的踪迹和执行

在检测与初始访问执行相关的痕迹之后,可以进一步搜索DarkGate恶意软件部署中使用的一些独特技术,例如Autoit3及其恶意脚本的使用:

分析人员可以使用以下查询来检测Autoit3和脚本文件创建时生成的事件。

norm_id=WindowsSysmon event_id=11
file IN ["autoit3.exe","*.au3","*.a3x"]
【威胁分析】深入解析DarkGate:探究感染链及其功能

After the binary and script files are downloaded, they are executed to drop other stages of the payload

在下载二进制文件和脚本文件后,这些文件会被执行,以投放后续阶段的负载。

label="Process" label=Create  
("process"="*autoit3.exe" OR description="AutoIt v3 Script" OR application="AutoIt v3 Script")
command IN ["*.au3","*.a3x"
| chart count() by user,host,parent_process,"process",command
【威胁分析】深入解析DarkGate:探究感染链及其功能

为了实现持久化,AutoIt3二进制文件和脚本被写入另一个文件夹。随后,通过将它们放置在启动(run)注册表中进行持久化配置。因此,分析人员可以使用“检测到自动运行键修改”警报来检测此类事件。

label=Registry label=Set label=Value -event_type=info 
target_object IN ["*softwareMicrosoftWindowsCurrentVersionRun*",  
"*softwareMicrosoftWindows NTCurrentVersionWinlogonUserinit*",       
"*softwareMicrosoftWindows NTCurrentVersionWinlogonShell*",    
"*MicrosoftWindowsCurrentVersionPoliciesExplorerRun",       
"*softwareMicrosoftWindows NTCurrentVersionWindows*",       
"*softwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders*"]        
detail IN ["*C:WindowsTemp*""*C:$Recycle.bin*""*C:Temp*",   
"*C:UsersPublic*""*C:ProgramData*""*C:UsersDefault*",  "*C:UsersDesktop*",   
"*AppDataLocal*",  "*Public*""*wscript*""*cscript*""*powershell.exe*"]      
-detail="*AppDataLocalMicrosoftTeamsUpdate.exe *" 

检测互联网设置的修改

在连接到C2服务器之前,加载器会尝试更改互联网设置,以确保与C2通信过程中不会出现任何问题。

label=Registry label=Set label=Value
target_object="*SoftwareMicrosoftCurrentVersionInternet SettingsZoneMap*"
target_object IN ["*ProxyBypass*","*IntranetName*","*UNCAsIntranet*","*AutoDetect*"]

注意:查询中提到的注册表路径需要添加到Sysmon配置中,或者配置SACL以生成相关日志。

检测与DarkGate相关的技术

DarkGate使用psexec进行远程命令执行,可以通过以下查询来检测该行为。

(norm_id=WinServer service="PSEXESVC" 
(event_id=7045 event_source="Service Control Manager" file="PSEXESVC.exe"
OR (event_id=7036))   
OR (label=file label=create file=PSEXESVC.exe)
OR (event_id IN [17,18] pipe="PSEXESVC*")    
OR (norm_id=WindowsSysmon -"process" IN ["*PsExec.exe""*PsExec64.exe"]
message="Execute processes remotely" product="Sysinternals PsExec")
OR (label="Process" label=Create 
("process" IN ["*PsExec.exe""*PsExec64.exe"] OR file="psexe*" 
command IN ["*-d *","*i *","-s *"]))

由于已知DarkGate会从以下网页浏览器中检索凭证和Cookie数据,分析人员可以使用查询来追踪此类事件,前提是已在相关文件夹中配置了适当的SACL并启用了文件系统审计。

label=File label=Access "access"="Read*"      
((path IN ["*User DataDefaultNetworkCookies*"
 "*AppdataLocalChromeUser DataDefaultLogin Data*","*AppDataLocalGoogleChromeUser DataLocal State*"]   
object_name IN ["*AppdataLocalMicrosoftWindowsWebCacheWebCacheV01.dat""*cookies.sqlite"])   
OR object_name IN ["*MicrosoftEdgeUser DataDefaultWeb Data""*Firefox*releaselogins.json"
"*firefox*releasekey3.db""*firefox*releasekey4.db""*BraveSoftwareBrave-BrowserUser Data*"])  
 -"process" IN ["*firefox.exe""*chrome.exe","C:Program Files*","C:Program Files (x86)*",  
"C:WINDOWSsystem32*","*MsMpEng.exe","*MpCopyAccelerator.exe"]   
-parent_process IN ["C:WindowsSystem32msiexec.exe"]   
-("process"=system parent_process=idle)  

注意:除了文件系统审计之外,还需要配置适当的SACL。

检测终端服务配置更改

DarkGate可能会更改与终端服务相关的配置,可以使用以下查询检测此类行为。

(label="Registry" label=Set 
target_object IN ["*SoftwareMicrosoftTerminal Server Client*"
"*SoftwarePoliciesMicrosoftWindows NTTerminal Services"]
target_object IN ["
*AuthenticationLevelOverride*","*DisableRemoteDesktopAntiAlias*",
"
*DisableSeucirtySettings*"])
OR 
(label="
Process" label=Create "process"="*reg.exe" command="*add*"
command IN ["
*SoftwareMicrosoftTerminal Server Client*", 
"
*SoftwarePoliciesMicrosoftWindows NTTerminal Services"]
command IN ["*AuthenticationLevelOverride*","*DisableRemoteDesktopAntiAlias*",
"*DisableSeucirtySettings*"])

通常,矿工程序会使用--cpu-priority命令行参数来执行。由于DarkGate可以在系统中部署矿工程序,并且在样本分析中观察到硬编码的命令行配置,分析人员可以使用以下查询来检测矿工程序的进程创建事件。

label="Process" label=Create
command="*--cpu-priority*"

DarkGate还部署AnyDesk以实现远程访问,因此分析人员可以使用以下查询来检测AnyDesk的安装和执行痕迹。

(label="Process" label=Create 
("process"="*anydesk.exe"
 OR description="*Anydesk*" OR application="*anydesk*" OR vendor="anydesk software gmbh")) 
OR 
(label="Registry" label=Set label=Value target_object="*anydesk*" ) 
OR 
(label=Application label=Install "application"="*AnyDesk*"
| chart count() by event_id,"process",description,product,vendor,target_object,detail
【威胁分析】深入解析DarkGate:探究感染链及其功能

响应DarkGate

在检测到DarkGate恶意软件的痕迹后,分析人员可以使用提供的查询作为触发器来启动后续的应对流程。这些流程通过剧本(playbooks)自动化了针对DarkGate感染的响应过程。

Logpoint AgentX - 删除项目

DarkGate通常会创建备份文件并投递多个负载文件。通过检测与DarkGate相关的文件,分析人员可以使用“删除项目”剧本来删除这些文件,或设置相关触发器以自动运行该剧本。

【威胁分析】深入解析DarkGate:探究感染链及其功能

Logpoint AgentX - 终止进程

根据前面提到的查询和警报,如果恶意软件进程仍在活动,分析人员可以使用“终止进程”剧本来迅速终止该进程。

【威胁分析】深入解析DarkGate:探究感染链及其功能

Logpoint AgentX - 删除注册表值

分析人员可以使用“删除注册表值”剧本,删除DarkGate加载器在Run注册表键中添加的用于持久化的可疑注册表值。

【威胁分析】深入解析DarkGate:探究感染链及其功能

Logpoint AgentX - 隔离/解除隔离主机

在确认主机感染后,分析人员可以使用“隔离/解除隔离主机”剧本,隔离该主机以防止进一步的横向移动和攻击扩散。

【威胁分析】深入解析DarkGate:探究感染链及其功能

建议

  • 像DarkGate和其他恶意软件家族通常通过社会工程手段传播。为应对这些威胁,组织应定期为员工提供培训,使其了解和应对社会工程攻击,并进行模拟真实场景的演练。
  • 此外,除了实施一年一次的密码重置的强密码策略,提升密码管理意识也至关重要。用户应避免在多个账户上重复使用密码,以防止攻击者在一个密码被泄露时访问其他服务。同时,尽可能对所有用户实施多因素认证(MFA);若无法实现,可以优先为特权用户或云账户启用MFA,以增加额外的安全验证层,降低攻击者获得访问权限的难度。
  • 实施最小权限原则,限制用户的访问和权限,仅授予完成工作所需的权限。通过这种方式,组织可以显著减少在用户账户被攻破时发生未经授权访问或恶意活动的风险。
  • 使用终端保护系统对于检测和阻止恶意软件至关重要,例如DarkGate在检测到特定的杀毒软件时会终止其恶意行为。
  • 实施适当的网络分段对于保护关键系统和敏感数据免受恶意软件和攻击者的侵害至关重要。通过将这些关键资产与网络的其他部分隔离,组织可以降低横向移动或攻击扩散的风险。
  • 定期审计特权账户及其活动有助于检测到可能导致数据泄露、系统故障及其他安全事件的滥用或异常行为。通过密切监控特权访问,组织可以识别可疑行为并迅速采取行动以降低风险,从而提升整体安全性。
  • 定期更新设备、浏览器和其他软件应用程序是帮助保护系统免受已知漏洞和网络威胁的关键安全措施。
  • 恰当的日志记录、资产可见性和系统监控对网络安全至关重要,能提供网络监督和异常检测。通过定期监控和审计跟踪用户活动,可以识别出异常行为。收集所有系统的全面日志数据也是必不可少的。
  • 威胁行为者利用AnyDesk、Atera等远程监控与管理(RMM)工具进行远程桌面访问。组织应监控这些工具的使用情况。此外,监控应用程序的安装行为也非常重要,因为正如观察到的DarkGate所示,它在攻击周期的多个阶段安装应用程序。
  • 如果可行,请配置适当的主机防火墙策略,限制某些应用程序(如Wscript、Rundll32和Mshta)的外部通信,因为这些应用程序被威胁行为者广泛滥用以投递其他阶段的负载。
  • 此外,建议制定充分的日志保留策略,以确保在事件发生时有可用于分析的日志数据。为了更好的可见性,建议日志保留时间至少为六个月。
  • 最后,确保具备事件响应计划,以便在检测到事件时迅速采取行动,旨在将损害降到最低。

为了实现集中日志记录和全面的可见性,Logpoint提供了端到端的安全操作平台——Converged SIEM。Logpoint的解决方案涵盖整个威胁检测、调查和响应流程,包括SIEM、SOAR和UEBA功能,并配备原生的端点代理。如需了解更多关于Logpoint的内容,可预约演示以查看Converged SIEM的实际效果。

文章来源

https://www.logpoint.com/en/blog/inside-darkgate/#

以下是solar安全团队近期处理过的常见勒索病毒后缀:后缀.lol勒索病毒,后缀.360勒索病毒,.halo勒索病毒,.phobos勒索病毒,.Lockfiles勒索病毒,.stesoj勒索病毒,.src勒索病毒,.svh勒索病毒,.Elbie勒索病毒,.Wormhole勒索病毒.live勒索病毒, .rmallox勒索病毒, .mallox 勒索病毒,.hmallox勒索病毒,.jopanaxye勒索病毒, .2700勒索病毒, .elbie勒索病毒, .mkp勒索病毒, .dura勒索病毒, .halo勒索病毒, .DevicData勒索病毒, .faust勒索病毒, ..locky勒索病毒, .cryptolocker勒索病毒, .cerber勒索病毒, .zepto勒索病毒, .wannacry勒索病毒, .cryptowall勒索病毒, .teslacrypt勒索病毒, .gandcrab勒索病毒, .dharma勒索病毒, .phobos勒索病毒, .lockergoga勒索病毒, .coot勒索病毒, .lockbit勒索病毒, .nemty勒索病毒, .contipa勒索病毒, .djvu勒索病毒, .marlboro勒索病毒, .stop勒索病毒, .etols勒索病毒, .makop勒索病毒, .mado勒索病毒, .skymap勒索病毒, .aleta勒索病毒, .btix勒索病毒, .varasto勒索病毒, .qewe勒索病毒, .mylob勒索病毒, .coharos勒索病毒, .kodc勒索病毒, .tro勒索病毒, .mbed勒索病毒, .wannaren勒索病毒, .babyk勒索病毒, .lockfiles勒索病毒, .locked勒索病毒, .DevicData-P-XXXXXXXX勒索病毒, .lockbit3.0勒索病毒, .blackbit勒索病毒等。

勒索攻击作为成熟的攻击手段,很多勒索家族已经形成了一套完整的商业体系,并且分支了很多团伙组织,导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同,TellYouThePass勒索软件家族常常利用系统漏洞进行攻击;Phobos勒索软件家族通过RDP暴力破解进行勒索;Mallox勒索软件家族利用数据库及暴力破解进行加密,攻击手法极多防不胜防。

而最好的预防方法就是针对自身业务进行定期的基线加固、补丁更新及数据备份,在其基础上加强公司安全人员意识。

如果您想了解有关勒索病毒的最新发展情况,或者需要获取相关帮助,请关注“solar专业应急响应团队”。

原文始发于微信公众号(solar专业应急响应团队):【威胁分析】深入解析DarkGate:探究感染链及其功能

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月10日17:36:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【威胁分析】深入解析DarkGate:探究感染链及其功能https://cn-sec.com/archives/3249364.html

发表评论

匿名网友 填写信息