惡意軟體DarkGate透過Samba檔案共用資料夾散布

自惡意軟體QBot（Qakbot）的基礎設施去年8月遭到多個國家的執法單位摧毀後，駭客在攻擊行動使用惡意軟體DarkGate出現急速增加的現象，到了今年更衍生新的攻擊手法，使得研究人員呼籲用戶要提高警覺。

資安業者Palo Alto Networks指出，他們在今年3月至4月，看到對方利用Excel檔案作為發起攻擊鏈的管道，接著，會去下載包含DarkGate的惡意軟體套件，來源是可透過網際網路存取的Samba（SMB）檔案共享資料夾。但為何駭客要使用檔案共享資料夾，研究人員並未說明。

研究人員看到駭客自今年3月發起新一波行動，初期北美洲是主要攻擊範圍，隨後逐漸蔓延到歐洲及亞洲地區。這起事故在4月9日達到高峰，當天他們偵測到近2千個惡意Excel檔案（XLSX）。

這些Excel檔案的來源明顯不同，但具備相似的命名方式，暗示文件相當重要，甚至是來自政府或企業官方。一旦使用者在Excel打開對方提供的檔案，電腦就會顯示對話框，表示文件內含部分雲端檔案，若要檢視，就要點選開啟按鈕，而要正確顯示完整內容，使用者還得進一步啟用編輯的功能。

然而若是使用者依照指示點選開啟，這個按鈕實際上是超連結物件，作用是從嵌入試算表的drawing.xml.rels檔案讀取URL，從而向Samba（或SMB）檔案共享資料夾取得VBS指令碼。但除了VBS指令碼，他們也看到駭客使用JavaScript檔案的情況。

研究人員分析VBS指令碼，當中混雜大量印表機驅動程式相關的垃圾程式碼，拆解後得到請求、執行下一階段攻擊的PowerShell指令碼。而對於JavaScript檔案的部分，對方則是使用類似的功能函數，來達到相同的目的。

這個PowerShell指令碼的用途，主要是下載3個檔案，用來啟動以AutoHotKey打造的DarkGate。但在部分的事故當中，對方運用了少見的迴避偵測手法。在其中一起事故裡，PowerShell指令碼會檢查電腦是否存在特定的資料夾，來判斷有無安裝卡巴斯基防毒軟體，一旦確認電腦部署該廠牌防毒，就會下載正牌的AutoHotKey程式來迴避偵測。

不過，假如電腦並未搭配此廠牌的防毒軟體，攻擊流程就會繼續往下進行。PowerShell指令碼會下載代表16位元程式碼的ASCII文字，並儲存結果為BIN檔案，接著利用certutil.exe將其解碼，還原成AutoHotKey.exe。

值得一提的是，研究人員也在DarkGate套件當中的AutoHotKey指令碼、AutoIt3指令碼裡，看到類似的迴避偵測手法。

最終駭客濫用公用程式AutoHotKey.exe啟動惡意指令碼script.ahk，對於經過混淆處理的DarkGate檔案test.txt進行還原，並將其Shell Code載入記憶體內執行。

但為了防範研究人員透過沙箱或虛擬環境執行，駭客在DarkGate加入多種機制。首先，該惡意程式會偵測處理器資訊的機制，再者，則是透過偵測特定的資料夾路徑，確認電腦執行的防毒軟體，進而避免觸發相關偵測機制。

再者，攻擊者會掃描電腦正在執行的處理程序，確認是否存在惡意程式分析工具、逆向工具、除錯工具，以及與虛擬化環境相關的公用程式。完成後他們會將上述偵察結果併入DarkGate的組態配置當中，從而調整惡意程式的運作方式，以便更加隱密地埋伏在受害電腦。

而對於隱匿攻擊流量的部分，研究人員指出，對方雖然使用未加密的HTTP請求進行C2通訊，但資料經過Base64編碼處理。經過拆解、還原流量內容，他們察覺有資料透過這種手法外傳的跡象。此外，攻擊者也有可能藉由DarkGate散布其他惡意軟體。