DarkHydrus技术手段分析
字数 2198 2025-08-06 01:00:45

DarkHydrus技术手段分析教学文档

1. DarkHydrus组织概述

DarkHydrus(黑暗之蛇)是一个疑似来自亚洲的网络间谍组织,自2016年起活跃,主要针对中东地区的政府机构和教育机构。该组织特点包括:

  • 大量使用开源工具
  • 使用定制化有效负载
  • 采用多阶段攻击链

2. 攻击组件分析

2.1 PowerShell组件

2.1.1 初始感染

  • 通过.iqy格式文件执行,下载releasenotes.txt
  • 通过cmd调用PowerShell下载winupdate.ps1
  • 使用base64编码压缩PowerShell脚本

2.1.2 反检测机制

  • 通过WMI接口查询BIOS信息检测虚拟机环境(检查VBOX/VM等)
  • 检测物理内存大小
  • 检测安全分析工具进程(Wireshark/Sysinternals)

2.1.3 持久化

  • 释放.bat.ps1文件
  • 利用.bat执行OneDriver.ps1
  • 创建OneDrive快捷方式实现持久化

2.1.4 网络通信

  • 初始化网络配置
  • 使用自定义DNS隧道
  • 使用仿冒知名安全厂商的域名(如kaspersky[.]science, windowsdefender[.]win)
  • 系统信息采集后base64编码,通过DNS隧道发送

2.2 功能模块

指令 功能
$fileDownload 上传指定内容
$importModule 添加PowerShell模块到当前脚本
$screenshot 疑似截屏功能(通过iex $command执行)
$command 运行PowerShell命令
$slp:\d+ 设置休眠时间
$testmode DNS解析模块
$showconfig 上传当前载荷配置
$slpx:\d+ 设置DNS请求时长
$fileUpload 下载payload并写入本地

2.3 EXE组件

2.3.1 执行特点

  • 不从标准入口点执行
  • 在main函数前执行shellcode
  • 在Temp目录创建文件,通过WinExec执行

2.3.2 加壳与提权

  • 释放Aspack加壳程序
  • 根据系统版本保存结构体偏移,判断是否需要提权

2.3.3 感染机制

  • 为每个非光驱磁盘设备创建独立线程
  • 递归遍历感染文件
  • 两种感染动作:针对exe和rar文件

2.3.4 WinRAR利用

  • 重定向WinRAR.exe到Temp目录并重命名为随机数.exe
  • 感染压缩包内容后重新打包
  • 使用CreateProcess执行WinRAR命令: 
    %s X -ibck \"%s\" \"%s\\
"%s M %s -r -o+ -ep1 \"%s\" \"%s\\*\

2.3.5 文件感染

  • 分两次写入shellcode:
    • 第一次:625字节,用于API动态寻址
    • 第二次:样本本体,0x3A00字节

2.3.6 网络功能

  • 创建线程用于网络请求和文件下载
  • 示例下载URL:http://ddos.dnsnb8.net:799/cj//k1.rar
  • 下载文件映射到内存,解密后通过WinExec执行

2.3.7 清理

  • 使用bat脚本进行文件删除等收尾工作

2.4 .NET组件

  • 功能与PowerShell组件类似
  • 使用自定义DNS隧道进行C2通信

3. DNS隧道技术

3.1 工作机制

  1. 刷新DNS解析缓存
  2. 构造Windows nslookup解析指令
  3. 使用-q=TXT参数请求域名文本信息
  4. 特定域名格式:{固定字符}.List.

3.2 通信细节

  • 固定格式示例:676f6f646c75636b.gogle.co
  • 解析请求返回状态(成功/失败)
  • 通过正则匹配返回域记录

3.3 回包解析

使用正则表达式匹配返回信息:

Address:\\s+(\\d+.\\d+.\\d+.\\d+)
Address:\\s+(([a-fA-F0-9]{0,4}:{1,2}){1,8})
Address:\\s+(([a-fA-F0-9]{0,4}:{1,4}[\\w|:]+){1,8})

3.4 域名探测

  • 循环遍历List可用域名
  • 通过WMI获取本地域和主机名
  • 管理员权限下获取域列表

3.5 数据封装

  • 使用magic函数解析DNS查询类型(MZ/TXT等回包)
  • 客户端解析DNS回应包获取C2指令和数据
  • 保存command命令执行C2功能

4. 检测与防御

4.1 检测指标

  1. 流量特征:

    • DNS查询中包含"List"关键字
    • 请求频率异常(结合休眠时间设置)
    • 仿冒知名安全厂商的域名请求

  2. 主机行为:

    • 异常的PowerShell执行链
    • Temp目录下可疑的随机名exe文件
    • 异常的WinRAR重定向行为

4.2 防御建议

  1. 监控措施:

    • 监控DNS TXT查询异常
    • 记录PowerShell执行链
    • 监控WMI查询行为

  2. 防护措施:

    • 限制PowerShell执行策略
    • 监控Temp目录异常文件创建
    • 实施应用程序白名单

5. 相关IOC

5.1 文件哈希

0c6cbf288d94a85d0fb9e727db492300
6267BBC7BEC7BEB134A92F6F9E523B4F
bd764192e951b5afd56870d2084bccfd
953a753dd4944c9a2b9876b090bf7c00
B3432432B49EFCC4B5AB1C00C84827AC
A164A2341F4F54DBD0FA881E5C067C1A

5.2 网络IOC

anyconnect[.]stream
bigip[.]stream
fortiweb[.]download
kaspersky[.]science
microtik[.]stream
owa365[.]bid
symanteclive[.]download
windowsdefender[.]win

6. 总结

DarkHydrus攻击特点:

  1. 多阶段攻击链:从初始感染到持久化再到数据渗出
  2. 多样化组件:PowerShell、EXE和.NET组件协同工作
  3. 隐蔽通信:利用DNS隧道穿透内网
  4. 反检测机制:虚拟机检测、安全工具检测
  5. 文件感染:针对可执行文件和压缩包的感染能力

该攻击手法与2017年思科Talos团队发现的DNSMessenger攻击类似,都是通过DNS TXT查询和响应实现C2通信。防御此类攻击需要重点关注DNS异常流量和PowerShell异常行为。

DarkHydrus技术手段分析教学文档 1. DarkHydrus组织概述 DarkHydrus(黑暗之蛇)是一个疑似来自亚洲的网络间谍组织,自2016年起活跃,主要针对中东地区的政府机构和教育机构。该组织特点包括: 大量使用开源工具 使用定制化有效负载 采用多阶段攻击链 2. 攻击组件分析 2.1 PowerShell组件 2.1.1 初始感染 通过 .iqy 格式文件执行,下载 releasenotes.txt 通过cmd调用PowerShell下载 winupdate.ps1 使用base64编码压缩PowerShell脚本 2.1.2 反检测机制 通过WMI接口查询BIOS信息检测虚拟机环境(检查VBOX/VM等) 检测物理内存大小 检测安全分析工具进程(Wireshark/Sysinternals) 2.1.3 持久化 释放 .bat 和 .ps1 文件 利用 .bat 执行 OneDriver.ps1 创建OneDrive快捷方式实现持久化 2.1.4 网络通信 初始化网络配置 使用自定义DNS隧道 使用仿冒知名安全厂商的域名(如kaspersky[ .]science, windowsdefender[ . ]win) 系统信息采集后base64编码,通过DNS隧道发送 2.2 功能模块 | 指令 | 功能 | |------|------| | $fileDownload | 上传指定内容 | | $importModule | 添加PowerShell模块到当前脚本 | | $screenshot | 疑似截屏功能(通过 iex $command 执行) | | $command | 运行PowerShell命令 | | $slp:\d+ | 设置休眠时间 | | $testmode | DNS解析模块 | | $showconfig | 上传当前载荷配置 | | $slpx:\d+ | 设置DNS请求时长 | | $fileUpload | 下载payload并写入本地 | 2.3 EXE组件 2.3.1 执行特点 不从标准入口点执行 在main函数前执行shellcode 在Temp目录创建文件,通过WinExec执行 2.3.2 加壳与提权 释放Aspack加壳程序 根据系统版本保存结构体偏移,判断是否需要提权 2.3.3 感染机制 为每个非光驱磁盘设备创建独立线程 递归遍历感染文件 两种感染动作:针对exe和rar文件 2.3.4 WinRAR利用 重定向WinRAR.exe到Temp目录并重命名为随机数.exe 感染压缩包内容后重新打包 使用CreateProcess执行WinRAR命令: 2.3.5 文件感染 分两次写入shellcode: 第一次:625字节,用于API动态寻址 第二次:样本本体,0x3A00字节 2.3.6 网络功能 创建线程用于网络请求和文件下载 示例下载URL: http://ddos.dnsnb8.net:799/cj//k1.rar 下载文件映射到内存,解密后通过WinExec执行 2.3.7 清理 使用bat脚本进行文件删除等收尾工作 2.4 .NET组件 功能与PowerShell组件类似 使用自定义DNS隧道进行C2通信 3. DNS隧道技术 3.1 工作机制 刷新DNS解析缓存 构造Windows nslookup解析指令 使用 -q=TXT 参数请求域名文本信息 特定域名格式: {固定字符}.List. 3.2 通信细节 固定格式示例: 676f6f646c75636b.gogle.co 解析请求返回状态(成功/失败) 通过正则匹配返回域记录 3.3 回包解析 使用正则表达式匹配返回信息: 3.4 域名探测 循环遍历List可用域名 通过WMI获取本地域和主机名 管理员权限下获取域列表 3.5 数据封装 使用magic函数解析DNS查询类型(MZ/TXT等回包) 客户端解析DNS回应包获取C2指令和数据 保存command命令执行C2功能 4. 检测与防御 4.1 检测指标 流量特征: DNS查询中包含"List"关键字 请求频率异常(结合休眠时间设置) 仿冒知名安全厂商的域名请求 主机行为: 异常的PowerShell执行链 Temp目录下可疑的随机名exe文件 异常的WinRAR重定向行为 4.2 防御建议 监控措施: 监控DNS TXT查询异常 记录PowerShell执行链 监控WMI查询行为 防护措施: 限制PowerShell执行策略 监控Temp目录异常文件创建 实施应用程序白名单 5. 相关IOC 5.1 文件哈希 5.2 网络IOC 6. 总结 DarkHydrus攻击特点: 多阶段攻击链:从初始感染到持久化再到数据渗出 多样化组件:PowerShell、EXE和.NET组件协同工作 隐蔽通信:利用DNS隧道穿透内网 反检测机制:虚拟机检测、安全工具检测 文件感染:针对可执行文件和压缩包的感染能力 该攻击手法与2017年思科Talos团队发现的DNSMessenger攻击类似,都是通过DNS TXT查询和响应实现C2通信。防御此类攻击需要重点关注DNS异常流量和PowerShell异常行为。