DarkComet远控木马技术分析与防御指南<\/h1>

1. DarkComet概述<\/h2>

DarkComet是一种功能强大的远程访问木马(RAT)，具有以下主要特征：<\/p>

隐蔽运行<\/strong>：以隐蔽方式在受害者系统中运行<\/li>
信息窃取<\/strong>：收集系统数据、用户凭据、密码等敏感信息<\/li>
持久控制<\/strong>：允许攻击者长期控制受感染设备<\/li>
扩展功能<\/strong>：可安装其他恶意软件或将设备纳入僵尸网络<\/li>

防御规避<\/strong>：能够禁用防病毒软件等安全功能<\/li> <\/ul>
传播方式<\/h3>

与免费软件捆绑分发<\/li>
伪装成电子邮件附件<\/li>
利用网站软件漏洞攻击<\/li> <\/ul>
2. 样本行为分析<\/h2>
2.1 规避检测技术<\/h3>
文件属性修改<\/strong>：<\/p>
"C:\Windows\System32\cmd.exe"<\/span> \/k attrib "C:\Users\admin\AppData\Local\Temp\jPWRwWFD.exe"<\/span> +s +h <\/span><\/span><\/code><\/pre> 使用attrib<\/code>命令添加系统(+s)和隐藏(+h)属性<\/li> 目的：掩盖恶意文件的存在，避免被用户发现<\/li> <\/ul> 进程权限提升<\/strong>：<\/p> 通过修改进程权限获取更高系统权限<\/li> 便于执行需要特权的恶意操作<\/li> <\/ul> 2.2 文件释放与执行<\/h3> 典型释放路径<\/strong>：<\/p> C:\Users\admin\Documents\MSDCSC\msdcsc.exe <\/code><\/pre> 释放文件与原文件相同，实现多位置启动<\/li> 增加清除难度，确保持久性<\/li> <\/ul> 2.3 信息收集功能<\/h3> 硬件配置收集<\/strong>：<\/p> 使用GetCurrentHwProfileA()<\/code>获取硬件配置文件<\/li> 收集HWID(硬件唯一标识符)<\/li> 检测坞站状态(dwDockInfo字段)<\/li> <\/ul> 系统时间与位置<\/strong>：<\/p> 获取设备日期和时间<\/li> 查询注册表获取地理位置设置： \REGISTRY\USER{SID}\Control Panel\International\Geo\Nation <\/code><\/pre> <\/li> <\/ul> 3. 数据处理机制<\/h2> 3.1 数据解析函数<\/h3> 核心函数sub_4735E8<\/code>负责：<\/p> 管理恶意软件资源<\/li> 处理关键数据元素： C2(命令与控制)域信息<\/li> 用户SID(安全标识符)<\/li> 互斥量值(确保单实例运行)<\/li> <\/ul> <\/li> <\/ul> 3.2 DARKCOMET数据结构<\/h3> 样本中包含的典型数据结构：<\/p> #BEGIN DARKCOMET DATA -- MUTEX ={ DC_MUTEX-D1SPNDG } SID ={ Sazan } FWB ={ 0 } NETDATA ={ 8 .tcp.eu.ngrok.io:27791 } GENCODE ={ fKTZRKdv0Nij } INSTALL ={ 1 } COMBOPATH ={ 7 } EDTPATH ={ MSDCSC \\ msdcsc.exe } KEYNAME ={ MicroUpdate } EDTDATE ={ 16 \/04\/2007 } PERSINST ={ 0 } MELT ={ 0 } CHANGEDATE ={ 0 } DIRATTRIB ={ 6 } FILEATTRIB ={ 6 } FAKEMSG ={ 1 } EF ={ 1 } MSGCORE ={{ 42696C67697361796172FD6EFD7A20332073616E6979652069E7696E64652079656E6964656E206261FE6C6174FD6C6163616B74FD722E2E2E } MSGICON ={ 48 } SH1 ={ 1 } CHIDEF ={ 1 } CHIDED ={ 1 } PERS ={ 1 } OFFLINEK ={ 1 } #EOF DARKCOMET DATA -- <\/code><\/pre> 关键字段解析<\/strong>：<\/p> 字段<\/th> 说明<\/th> <\/tr> <\/thead> MUTEX<\/td> 互斥量名称(DC_MUTEX-D1SPNDG)<\/td> <\/tr> NETDATA<\/td> C2服务器地址(.tcp.eu.ngrok.io:27791)<\/td> <\/tr> EDTPATH<\/td> 可执行文件路径(MSDCSC\msdcsc.exe)<\/td> <\/tr> KEYNAME<\/td> 注册表项名称(MicroUpdate)<\/td> <\/tr> EDTDATE<\/td> 文件创建日期(16\/04\/2007)<\/td> <\/tr> CHANGEDATE<\/td> 是否修改日期(0=不修改)<\/td> <\/tr> <\/tbody> <\/table> 4. 持久性机制<\/h2> DarkComet采用多种技术确保在系统中的持久存在：<\/p> 4.1 注册表修改<\/h3> 启动项添加<\/strong>：<\/p> SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate <\/code><\/pre> 指向恶意可执行文件路径<\/li> 实现开机自启动<\/li> <\/ul> WinLogon修改<\/strong>：<\/p> \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit <\/code><\/pre> 确保用户登录时自动运行<\/li> <\/ul> 4.2 文件属性保留<\/h3> CHANGEDATE=0<\/code>：不修改投放文件的原始创建日期<\/li> 避免引起怀疑，增强隐蔽性<\/li> <\/ul> 5. 恶意行为API分析<\/h2> 5.1 用户输入模拟<\/h3> 鼠标控制<\/strong>：<\/p> 使用mouse_event<\/code>函数模拟：鼠标移动<\/li> 按钮点击<\/li> <\/ul> <\/li> <\/ul> 键盘模拟<\/strong>：<\/p> 使用keybd_event<\/code>函数模拟键盘输入<\/li> 可在用户不知情下执行操作<\/li> <\/ul> 5.2 键盘记录功能<\/h3> 键盘类型检测<\/strong>：<\/p> GetKeyboardType(0<\/span>) <\/span><\/span><\/code><\/pre> 返回7表示Unicode键盘<\/li> 适应不同键盘布局<\/li> <\/ul> 按键状态捕获<\/strong>：<\/p> 获取256个虚拟键的状态<\/li> 使用VkKeyScanA(ch)<\/code>将字符转换为虚拟键码<\/li> 精确记录用户输入<\/li> <\/ul> 5.3 显示设备枚举<\/h3> 使用EnumDisplayDevicesA<\/code>获取显示设备信息<\/li> 可能用于屏幕截图或界面适配<\/li> <\/ul> 5.4 剪贴板监控<\/h3> 访问剪贴板数据，特别是0xE格式(EMF)<\/li> 窃取复制的图像或文本内容<\/li> <\/ul> 6. 防御与检测建议<\/h2> 6.1 检测指标<\/h3> 文件特征<\/strong>：<\/p> 常见路径：AppData\Local\Temp<\/code>和Documents\MSDCSC<\/code><\/li> 文件名：msdcsc.exe<\/code>或随机名称(如jPWRwWFD.exe<\/code>)<\/li> 具有系统+隐藏属性<\/li> <\/ul> 进程特征<\/strong>：<\/p> 可疑的cmd.exe调用attrib命令<\/li> 修改注册表启动项的行为<\/li> <\/ul> 网络特征<\/strong>：<\/p> 连接ngrok等隧道服务的异常流量<\/li> 与已知C2域(.tcp.eu.ngrok.io)通信<\/li> <\/ul> 6.2 防护措施<\/h3> 权限控制<\/strong>：<\/p> 限制用户权限，避免管理员权限滥用<\/li> 监控注册表敏感位置修改<\/li> <\/ul> <\/li> 行为监控<\/strong>：<\/p> 检测异常的文件属性修改<\/li> 监控键盘记录和屏幕捕获行为<\/li> <\/ul> <\/li> 网络防护<\/strong>：<\/p> 阻止与ngrok等隧道服务的异常连接<\/li> 监控异常外发数据<\/li> <\/ul> <\/li> 终端防护<\/strong>：<\/p> 保持防病毒软件更新<\/li> 启用行为检测功能<\/li> <\/ul> <\/li> 用户教育<\/strong>：<\/p> 警惕不明来源的软件和邮件附件<\/li> 定期检查系统启动项<\/li> <\/ul> <\/li> <\/ol> 7. 分析工具推荐<\/h2> 静态分析<\/strong>：<\/p> IDA Pro\/Ghidra：逆向分析二进制<\/li> PEiD\/Exeinfo PE：检测加壳情况<\/li> <\/ul> <\/li> 动态分析<\/strong>：<\/p> Process Monitor：监控文件\/注册表操作<\/li> Wireshark：分析网络流量<\/li> API Monitor：跟踪API调用<\/li> <\/ul> <\/li> 内存分析<\/strong>：<\/p> Volatility：检测内存中的恶意代码<\/li> <\/ul> <\/li> 行为分析<\/strong>：<\/p> Cuckoo Sandbox：自动化恶意行为分析<\/li> <\/ul> <\/li> <\/ol> 通过全面了解DarkComet的技术细节和防御方法，可以有效提升对此类远控木马的检测和防护能力。<\/p>

字段<\/th>	说明<\/th> <\/tr> <\/thead>
MUTEX<\/td>	互斥量名称(DC_MUTEX-D1SPNDG)<\/td> <\/tr>
NETDATA<\/td>	C2服务器地址(.tcp.eu.ngrok.io:27791)<\/td> <\/tr>
EDTPATH<\/td>	可执行文件路径(MSDCSC\msdcsc.exe)<\/td> <\/tr>
KEYNAME<\/td>	注册表项名称(MicroUpdate)<\/td> <\/tr>
EDTDATE<\/td>	文件创建日期(16\/04\/2007)<\/td> <\/tr>
CHANGEDATE<\/td>	是否修改日期(0=不修改)<\/td> <\/tr> <\/tbody> <\/table> 4. 持久性机制<\/h2> DarkComet采用多种技术确保在系统中的持久存在：<\/p> 4.1 注册表修改<\/h3> 启动项添加<\/strong>：<\/p> SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate <\/code><\/pre> 指向恶意可执行文件路径<\/li> 实现开机自启动<\/li> <\/ul> WinLogon修改<\/strong>：<\/p> \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit <\/code><\/pre> 确保用户登录时自动运行<\/li> <\/ul> 4.2 文件属性保留<\/h3> CHANGEDATE=0<\/code>：不修改投放文件的原始创建日期<\/li> 避免引起怀疑，增强隐蔽性<\/li> <\/ul> 5. 恶意行为API分析<\/h2> 5.1 用户输入模拟<\/h3> 鼠标控制<\/strong>：<\/p> 使用mouse_event<\/code>函数模拟：鼠标移动<\/li> 按钮点击<\/li> <\/ul> <\/li> <\/ul> 键盘模拟<\/strong>：<\/p> 使用keybd_event<\/code>函数模拟键盘输入<\/li> 可在用户不知情下执行操作<\/li> <\/ul> 5.2 键盘记录功能<\/h3> 键盘类型检测<\/strong>：<\/p> GetKeyboardType(0<\/span>) <\/span><\/span><\/code><\/pre> 返回7表示Unicode键盘<\/li> 适应不同键盘布局<\/li> <\/ul> 按键状态捕获<\/strong>：<\/p> 获取256个虚拟键的状态<\/li> 使用VkKeyScanA(ch)<\/code>将字符转换为虚拟键码<\/li> 精确记录用户输入<\/li> <\/ul> 5.3 显示设备枚举<\/h3> 使用EnumDisplayDevicesA<\/code>获取显示设备信息<\/li> 可能用于屏幕截图或界面适配<\/li> <\/ul> 5.4 剪贴板监控<\/h3> 访问剪贴板数据，特别是0xE格式(EMF)<\/li> 窃取复制的图像或文本内容<\/li> <\/ul> 6. 防御与检测建议<\/h2> 6.1 检测指标<\/h3> 文件特征<\/strong>：<\/p> 常见路径：AppData\Local\Temp<\/code>和Documents\MSDCSC<\/code><\/li> 文件名：msdcsc.exe<\/code>或随机名称(如jPWRwWFD.exe<\/code>)<\/li> 具有系统+隐藏属性<\/li> <\/ul> 进程特征<\/strong>：<\/p> 可疑的cmd.exe调用attrib命令<\/li> 修改注册表启动项的行为<\/li> <\/ul> 网络特征<\/strong>：<\/p> 连接ngrok等隧道服务的异常流量<\/li> 与已知C2域(.tcp.eu.ngrok.io)通信<\/li> <\/ul> 6.2 防护措施<\/h3> 权限控制<\/strong>：<\/p> 限制用户权限，避免管理员权限滥用<\/li> 监控注册表敏感位置修改<\/li> <\/ul> <\/li> 行为监控<\/strong>：<\/p> 检测异常的文件属性修改<\/li> 监控键盘记录和屏幕捕获行为<\/li> <\/ul> <\/li> 网络防护<\/strong>：<\/p> 阻止与ngrok等隧道服务的异常连接<\/li> 监控异常外发数据<\/li> <\/ul> <\/li> 终端防护<\/strong>：<\/p> 保持防病毒软件更新<\/li> 启用行为检测功能<\/li> <\/ul> <\/li> 用户教育<\/strong>：<\/p> 警惕不明来源的软件和邮件附件<\/li> 定期检查系统启动项<\/li> <\/ul> <\/li> <\/ol> 7. 分析工具推荐<\/h2> 静态分析<\/strong>：<\/p> IDA Pro\/Ghidra：逆向分析二进制<\/li> PEiD\/Exeinfo PE：检测加壳情况<\/li> <\/ul> <\/li> 动态分析<\/strong>：<\/p> Process Monitor：监控文件\/注册表操作<\/li> Wireshark：分析网络流量<\/li> API Monitor：跟踪API调用<\/li> <\/ul> <\/li> 内存分析<\/strong>：<\/p> Volatility：检测内存中的恶意代码<\/li> <\/ul> <\/li> 行为分析<\/strong>：<\/p> Cuckoo Sandbox：自动化恶意行为分析<\/li> <\/ul> <\/li> <\/ol> 通过全面了解DarkComet的技术细节和防御方法，可以有效提升对此类远控木马的检测和防护能力。<\/p>