安全情报企业Prevailion上周披露了一个新的无文件恶意程序DarkWatchman,这是一个基于JavaScript的远程访问木马(Remote Access Trojan,RAT),研究人员发现它躲藏在Windows注册表(Windows Registry)中,而且很可能用来作为部署勒索软件等其它恶意程序的跳板。
Prevailion是在今年的11月发现DarkWatchman,它通过电子邮件传播,发送邮件的服务器位于俄罗斯,邮件本身也是以俄文撰写,程序代码虽然是以英文撰写,但出现部分的拼字错误。
图片来源_Prevailion
当受害者感染了DarkWatchman之后,Prevailion发现它利用Windows注册表进行所有的临时及永久访问,而且从不于硬盘写入任何内容,有鉴于注册表的内容原本就经常变动,再加上很难识别哪些变更是来自于正常的系统/软件功能,又有哪些变更是受到外界干预,因此很难被发现,也可躲过杀毒软件的侦测。
研究人员推测打造DarkWatchman的黑客,对于Windows Operating System及软件开发有相当程度的了解。
DarkWatchman具备了大多数的RAT基本功能,像是执行EXE档、加载DLL档、执行命令、评估JavaScript、将文件上传至命令暨控制服务器(C&C)、远程移除RAT与键盘监听程序,或是远程更新C&C服务器地址等,此外,它也具备高端功能,包括远程更新该RAT及键盘监听程序、在RAT启动时设置一个自动执行的JavaScript、利用域名生成算法来强化C&C的弹性,以及当受害者具备管理权限时,它会删除阴影副本。
此外,分析显示黑客的攻击行动是有目标性的,看起来像是锁定大型企业,由于DarkWatchman可自远程加载其它恶意程序,使得Prevailion相信DarkWatchman只是黑客入侵组织的第一阶段,将被用来部署包括勒索软件在内等更危险的恶意程序。