بدافزار جدید در رجیستری ویندوز: DarkWatchman

بدافزار جدید در رجیستری ویندوز: DarkWatchman

این بدافزار می‌تواند پکت های اطلاعاتی اضافی را از راه دور بارگیری کند، بنابراین می‌تواند به عنوان یک عفونت مخفی در مرحله اول باشد تا سیستم را برای استقرار باج‌افزار بعدی آماده کند. DarkWatchman می‌تواند پس از پایه‌گذاری اولیه با دامنه‌های کنترل‌شده توسط هکر ارتباط برقرار کند، اپراتور باج‌افزار می‌تواند باج‌افزار را تصاحب کرده و مستقر کند یا به طور مستقیم استخراج فایل را مدیریت کند.

بدافزار جدیدی به نام DarkWatchman در جرایم سایبری زیرزمینی پدیدار شده است، و یک جاوا اسکریپت RAT (تروجان با قابلیت دسترسی از راه دور) سبک وزن و با قابلیت بالا است که با یک keylogger C# جفت شده است.

طبق یک گزارش فنی توسط محققان در Prevailion، RAT توسط هکران روسی زبان استفاده می شود که عمدتاً سازمان های روسی را هدف قرار می دهند

اولین نشانه‌های وجود DarkWatchman در اوایل نوامبر ظاهر شد، در همان زمان بود که عوامل پشت این بد افزار شروع به توزیع آن از طریق ایمیل‌های فیشینگ با پیوست‌های ZIP. کردند.

Sample of phishing email used in DarkWatchman distribution
Source: Prevailion

این پیوست‌های فایل ZIP. حاوی یک فایل اجرایی .exe میباشد اما هکران ایکون فایل را به ایکون فایل متنی یا تکست  .txtتغییر داده تا قربانی در بازکردن فایل مردد نباشد!  یک آرشیو WinRAR خودنصب است که RAT و keylogger را نصب می کند.

Downloaded attachment contents
Source: Prevailion

اگر فایل اجرا شود، یک پیام باز میشود و به کاربر نشان داده می‌شود که «فرمت ناشناخته» است. به این معنی که فایل قابل اجرا برای سیستم کاربر نبوده، اما در واقع، بدافزار در پس‌زمینه نصب شده‌ است !

RAT: موش زیرک بدون رد پا!

DarkWatchman یک بدافزار بسیار سبک است، با جاوا اسکریپت RAT تنها 32 کیلوبایت اندازه دارد و کامپایل آن تنها با استفاده از 8.5 کیلوبایت فضا اشغال می‌شود. از مجموعه بزرگی از باینری‌ها، اسکریپت‌ها و کتابخانه‌های «living off the land» استفاده می‌کند و از روش‌های مخفی برای انتقال داده‌ها بین ماژول‌ها استفاده می‌کند.

نکته جالب درمورد DarkWatchman استفاده آن از مکانیسم ذخیره سازی بدون فایل رجیستری ویندوز برای Keylogger است، به این صورت که  به جای ذخیره keylogger روی دیسک، یک تسک برنامه ریزی شده ایجاد می شود تا DarkWatchman RAT هر بار که کاربر وارد ویندوز می شود راه اندازی شود.

Scheduled task added for persistence
Source: Prevailion

پس از راه‌اندازی، DarkWatchmen یک اسکریپت PowerShell را اجرا می‌کند که keylogger را با استفاده از دستور NET CSC.exe کامپایل کرده و آن را در حافظه راه‌اندازی می‌کند.

محققین Prevailion در گزارش خود توضیح دادند که "سورس کد Keyloggers تحت C# توزیع می شود که پردازش در رجیستری را از طریق PowerShell ممکن میکند و آنها را با کد Base64 ذخیره میکند. هنگامی که RAT راه اندازی می شود، این اسکریپت PowerShell را اجرا می کند که به نوبه خود، keylogger را (با استفاده از CSC) کامپایل می کند.

خود Keylogger با C2 ارتباط برقرار نمی کند یا روی دیسک ذخیره نمیشود. در عوض، keylog خود را روی یک کلید رجیستری می نویسد که به عنوان بافر از آن استفاده می کند. در حین کار، RAT این بافر را قبل از ارسال کلیدهای ثبت شده به دیسک سرور   C2 تخریب کرده و پاک می کند."

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Base64 encoded PowerShell compiling the keylogger
Source: Prevailion

 

به این ترتیب، رجیستری نه تنها به عنوان مکانی برای پنهان کردن کد اجرایی رمزگذاری شده، بلکه به عنوان یک مکان موقت برای نگهداری داده های سرقت شده تا زمانی که به C2 استخراج شود، استفاده می شود.

از نظر ارتباطات و زیرساخت C2، عاملان DarkWatchman از DGA (الگوریتم‌های تولید دامنه) با فهرستی از 10 مورد برای تولید حداکثر 500 دامنه در روز استفاده می‌کنند. این امتیاز به آنها انعطاف عملیاتی عالی می دهد، و در عین حال، نظارت و تجزیه و تحلیل ارتباطات را بسیار چالش برانگیز می کند.

قابلیت های کاربردی DarkWatchman به شرح زیر است:

Execute EXE files (with or without the output returned)

Load DLL files

Execute commands on the command line

Execute WSH commands

Execute miscellaneous commands via WMI

Execute PowerShell commands

Evaluate JavaScript

Upload files to the C2 server from the victim machine

Remotely stop and uninstall the RAT and Keylogger

Remotely update the C2 server address or call-home timeout

Update the RAT and Keylogger remotely

Set an autostart JavaScript to run on RAT startup

A Domain Generation Algorithm (DGA) for C2 resiliency

If the user has admin permissions, it deletes shadow copies using vssadmin.exe

 

فرضیه باج افزار

تئوری Prevailion می‌گوید که DarkWatchman ممکن است توسط ( یا برای) گروه‌های باج‌افزاری که نیاز دارند وابسته‌های کم‌توان خود را با ابزاری قدرتمند و مخفی توانمند کنند، طراحی شده باشد.

این بدافزار می‌تواند پکت های اطلاعاتی اضافی را از راه دور بارگیری کند، بنابراین می‌تواند به عنوان یک عفونت مخفی در مرحله اول باشد تا سیستم را برای استقرار باج‌افزار بعدی آماده کند.

از آنجایی که DarkWatchman می‌تواند پس از پایه‌گذاری اولیه با دامنه‌های کنترل‌شده توسط هکر ارتباط برقرار کند، اپراتور باج‌افزار می‌تواند باج‌افزار را تصاحب کرده و مستقر کند یا به طور مستقیم استخراج فایل را مدیریت کند.

این رویکرد نقش وابسته یا affiliat را به نقش نفوذگر یا network infiltratorشبکه تنزل می دهد و به طور همزمان عملیات RaaS را بالینی و کارآمدتر می کند.

منبع: www.bleepingcomputer.com