圖片來源: 

JavadR (pixabay.com)

資安情報業者Prevailion上周揭露了一個新的無檔案惡意程式DarkWatchman,這是一個基於JavaScript的遠端存取木馬(Remote Access Trojan,RAT),研究人員發現它躲藏在Windows登錄檔(Windows Registry)中,而且很可能用來作為部署勒索軟體等其它惡意程式的跳板。

Prevailion是在今年的11月發現DarkWatchman,它透過電子郵件散布,發送郵件的伺服器位於俄羅斯,郵件本身也是以俄文撰寫,程式碼雖然是以英文撰寫,但出現部分的拼字錯誤。

圖片來源_Prevailion

當受害者感染了DarkWatchman之後,Prevailion發現它利用Windows登錄檔進行所有的臨時及永久存取,而且從不於硬碟寫入任何內容,有鑑於登錄檔的內容原本就經常變動,再加上很難辨識哪些變更是來自於正常的系統/軟體功能,又有哪些變更是受到外界干預,因此很難被察覺,也可躲過防毒軟體的偵測。

研究人員推測打造DarkWatchman的駭客,對於Windows Operating System及軟體開發有相當程度的了解。

DarkWatchman具備了大多數的RAT基本功能,像是執行EXE檔、載入DLL檔、執行命令、評估JavaScript、將檔案上傳至命令暨控制伺服器(C&C)、遠端移除RAT與鍵盤側錄程式,或是遠端更新C&C伺服器位址等,此外,它也具備進階功能,包括遠端更新該RAT及鍵盤側錄程式、在RAT啟動時設定一個自動執行的JavaScript、利用網域生成演算法來強化C&C的彈性,以及當受害者具備管理權限時,它會刪除陰影複本。

此外,分析顯示駭客的攻擊行動是有目標性的,看起來像是鎖定大型企業,由於DarkWatchman可自遠端載入其它惡意程式,使得Prevailion相信DarkWatchman只是駭客入侵組織的第一階段,將被用來部署包括勒索軟體在內等更危險的惡意程式。

熱門新聞

Advertisement