新型无文件窃密木马DarkCloud利用PowerShell与进程镂空技术规避检测
💡
原文中文,约1600字,阅读约需4分钟。
📝
内容提要
Fortinet研究显示,DarkCloud恶意软件通过钓鱼邮件和PowerShell攻击链传播,窃取敏感信息。该恶意软件采用无文件技术和反分析机制,增加检测难度,并通过TLS的SMTP协议进行数据外传。
🎯
关键要点
- Fortinet研究发现DarkCloud恶意软件通过钓鱼邮件和PowerShell攻击链传播。
- 该恶意软件专门窃取保存的凭据、支付数据和电子邮件联系人等敏感信息。
- 攻击链始于一封无正文的钓鱼邮件,附带压缩包,内含JavaScript文件。
- JavaScript文件通过WScript.exe执行,下载伪装成JPEG图像的文件,隐藏加密的.NET DLL。
- 恶意软件使用内存注入技术和无文件运行,增加检测难度。
- 反分析机制包括监测用户输入和运行时解密的加密常量字符串。
- DarkCloud主要窃取系统信息、浏览器数据、应用程序凭证和邮件联系人。
- 该变种采用基于TLS的SMTP协议进行数据外传,所有SMTP信息以加密字符串形式存储。
- 邮件主题包含受害系统的基本信息,增加了检测和调查的难度。
- DarkCloud展现了多层混淆、无文件投递和反分析机制的结合,符合APT攻击手法。
❓
延伸问答
DarkCloud恶意软件是如何传播的?
DarkCloud恶意软件通过钓鱼邮件和基于PowerShell的攻击链传播,攻击链始于一封无正文的钓鱼邮件,附带压缩包和JavaScript文件。
DarkCloud主要窃取哪些类型的敏感信息?
DarkCloud主要窃取系统信息、浏览器数据、应用程序凭证和邮件联系人等敏感信息。
DarkCloud使用了哪些技术来规避检测?
DarkCloud采用无文件技术、内存注入、反分析机制等手段来规避检测,增加了分析和调查的难度。
DarkCloud的反分析机制是怎样的?
DarkCloud的反分析机制包括监测用户输入和使用加密常量字符串,若无用户输入则暂停执行。
DarkCloud是如何进行数据外传的?
DarkCloud采用基于TLS的SMTP协议进行数据外传,所有SMTP信息以加密字符串形式存储。
DarkCloud的攻击手法与APT攻击有何相似之处?
DarkCloud展现了多层混淆、无文件投递和反分析机制的结合,符合APT攻击的特征。
➡️
