DarkGate 恶意软件深度分析与防御指南<\/h1>

1. 概述<\/h2>
DarkGate 是一款高度复杂且隐蔽的多功能恶意软件，主要针对欧洲（特别是西班牙和法国）的 Windows 工作站用户。该恶意软件通过 torrent 文件传播，具有加密货币挖掘、密码窃取、勒索和远程控制等多种功能。<\/p>

1.1 主要特点<\/h3>

利用 Akamai CDN 和 AWS 等合法服务建立 C&C 通信<\/li>
采用多种技术绕过传统 AV 检测<\/li>
使用两种不同的 UAC 绕过技术提权<\/li>
具备文件恢复保护机制<\/li>

功能模块化：挖矿、密码窃取、勒索、远程控制<\/li> <\/ul>

2. 技术分析<\/h2>

2.1 传播方式<\/h3>

伪装为电影\/电视剧的 torrent 文件（如 the-walking-dead-9-5-hdtv-720p.torrent.vbe）<\/li>

通过钓鱼邮件传播恶意文件<\/li> <\/ul>

2.2 执行流程（四阶段）<\/h3>

阶段1：初始加载<\/h4>

执行混淆的 VB 脚本（类似 Downloader）<\/li>

在隐藏文件夹

C:\{username}<\/code> 中放置以下文件：

autoit3.exe<\/li>
test.au3<\/li>
pe.bin<\/li>
shell.txt<\/li>
<\/ul>
<\/li>
<\/ul>
阶段2：持久化<\/h4>

在自启目录创建 bill.ink 快捷方式<\/li>
触发 shell.txt 中的二进制代码<\/li>
<\/ul>
阶段3：内存加载<\/h4>

从 shell.txt 加载二进制代码到内存<\/li>
使用 AutoIt 的 DLLStructCreate<\/code> 和 DllStructSetData<\/code><\/li>
通过 CallWindowProc<\/code> 执行代码<\/li>
<\/ul>
阶段4：核心执行<\/h4>

检查卡巴斯基是否存在<\/li>
解密 pe.bin 文件<\/li>
使用 Process Hollowing 注入 vbc.exe 进程<\/li>
将自身复制到 C:\Program data<\/code> 并以用户 ID 前8位命名<\/li>
注册表持久化：\SOFTWARE\Microsoft\Windows\CurrentVersion\Run<\/code><\/li>
<\/ul>
3. 功能模块<\/h2>
3.1 加密货币挖矿<\/h3>

从 C&C 服务器获取挖矿程序<\/li>
通过 Process Hollowing 注入 systeminfo.exe 进程<\/li>
配置文件保存为 config.bin<\/li>
矿工程序保存为 cpu.bin<\/li>
<\/ul>
3.2 密码窃取<\/h3>
针对以下加密钱包和交易所：<\/p>

HitBTC、Binance、Litebit、Cryptopia、CoinEx<\/li>
Electrum、Bittrex、Blockchain、Bitcoin Core<\/li>
KuCoin、MetaMask、MyEtherWallet、Litecoin Core<\/li>
<\/ul>
3.3 远程控制<\/h3>

可安装定制远程访问工具<\/li>
支持手动操作感染机器<\/li>
<\/ul>
3.4 信息收集<\/h3>
收集以下系统信息：<\/p>

语言环境、用户名、计算机名<\/li>
前台窗口、当前时间<\/li>
处理器类型、显卡信息<\/li>
内存容量、OS 版本<\/li>
管理员权限状态<\/li>
AV 类型检测<\/li>
<\/ul>
4. 反检测技术<\/h2>
4.1 反虚拟机检测<\/h3>

使用 Sysutils::DiskSize<\/code> 检查磁盘空间（<101GB 视为虚拟机）<\/li>
使用 GlobalMemoryStatusEx<\/code> 检查内存（<4GB 视为虚拟机）<\/li>
<\/ul>
4.2 反AV检测<\/h3>
检测以下安全软件进程：<\/p>



进程名<\/th>
厂商<\/th>
<\/tr>
<\/thead>


astui.exe<\/td>
Avast<\/td>
<\/tr>

avpui.exe<\/td>
Kaspersky<\/td>
<\/tr>

avgui.exe<\/td>
AVG<\/td>
<\/tr>

egui.exe<\/td>
Nod32<\/td>
<\/tr>

bdagent<\/td>
Bitdefender<\/td>
<\/tr>

avguard.exe<\/td>
Avira<\/td>
<\/tr>

nis.exe<\/td>
Norton<\/td>
<\/tr>

uiseagnt.exe<\/td>
Trend Micro<\/td>
<\/tr>

bytefence.exe<\/td>
ByteFence<\/td>
<\/tr>

mcshield.exe<\/td>
McAfee<\/td>
<\/tr>

msascuil.exe<\/td>
Windows Defender<\/td>
<\/tr>
<\/tbody>
<\/table>
特殊处理：<\/p>

IOBit：终止 monitor.exe 和 smBootTime.exe<\/li>
Trend Micro：不执行关键日志线程<\/li>
卡巴斯基：调整执行策略<\/li>
<\/ul>
4.3 系统调用绕过<\/h3>

直接调用内核模式函数（KiFastSystemCall）<\/li>
32\/64位系统自适应<\/li>
绕过用户模式 Hook<\/li>
<\/ul>
5. 持久化技术<\/h2>
5.1 UAC 绕过<\/h3>
方法1：磁盘清理任务<\/strong><\/p>

修改 %windir%<\/code> 环境变量（HKEY_CURRENT_USER\Enviroment\windir）<\/li>
利用 cleanmgr.exe 计划任务<\/li>
<\/ul>
方法2：EventVwr 漏洞<\/strong><\/p>

利用 eventvwr.exe 的高完整性特性<\/li>
修改 HKCU\Software\Classes\mscfile\shell\open\command<\/code><\/li>
<\/ul>
5.2 恢复工具对抗<\/h3>
检测并对抗以下恢复工具：<\/p>

AdwCleaner<\/li>
Farbar Recovery Scan Tool (frst64.exe, frst32.exe)<\/li>
<\/ul>
对抗方法：<\/p>

每20秒重新分配恶意软件文件<\/li>
确保文件被删除后能自动恢复<\/li>
<\/ul>
6. 其他恶意功能<\/h2>
6.1 键盘记录<\/h3>

记录所有键盘事件<\/li>
记录前台窗口和剪贴板内容<\/li>
日志保存在 C:\users\{username}\appdata\roaming\{ID1}<\/code><\/li>
<\/ul>
6.2 凭证窃取工具<\/h3>
使用以下 NirSoft 工具：<\/p>

Mail PassView<\/li>
WebBrowserPassView<\/li>
ChromeCookiesView\/IECookiesView\/MZCookiesView<\/li>
BrowsingHistoryView<\/li>
SkypeLogView<\/li>
<\/ul>
6.3 系统破坏<\/h3>

删除所有系统恢复点：vssadmin delete shadows \/for=c: \/all \/quiet<\/code><\/li>
创建后门账户（针对西班牙和法国系统）：
net user \/add SafeMode Darkgate0!
net localgroup administrators SafeMode \/add
net localgroup administradores SafeMode \/add
net localgroup administrateurs SafeMode \/add
<\/code><\/pre>
<\/li>
<\/ul>
7. C&C 通信<\/h2>
硬编码域名：<\/p>

akamai.la<\/li>
hardwarenet.cc<\/li>
ec2-14-122-45-127.compute-1.amazonaws.cdnprivate.tel<\/li>
awsamazon.cc<\/li>
battlenet.la<\/li>
a40-77-229-13.deploy.static.akamaitechnologies.pw<\/li>
<\/ul>
8. 防御措施<\/h2>
8.1 检测指标<\/h3>

文件路径：C:\{username}\<\/code> 下的可疑文件<\/li>
注册表项：\SOFTWARE\Microsoft\Windows\CurrentVersion\Run<\/code> 中的可疑条目<\/li>
网络通信：与上述 C&C 域名的连接<\/li>
<\/ul>
8.2 防护建议<\/h3>

启用高级端点保护解决方案<\/li>
监控 Process Hollowing 行为（特别是 vbc.exe 进程）<\/li>
限制 NirSoft 工具的执行<\/li>
监控 UAC 绕过行为<\/li>
保持系统和安全软件更新<\/li>
<\/ol>
9. 样本信息<\/h2>
9.1 Hash 值<\/h3>
3340013b0f00fe0c9e99411f722f8f3f0baf9ae4f40ac78796a6d4d694b46d7b
0c3ef20ede53efbe5eebca50171a589731a17037147102838bdb4a41c33f94e5
52c47a529e4ddd0778dde84b7f54e1aea326d9f8eeb4ba4961a87835a3d29866
...
<\/code><\/pre>
10. 总结<\/h2>
DarkGate 是一款高度复杂且持续演变的恶意软件，其作者投入了大量精力规避检测。安全团队应重点关注其独特的 Process Hollowing 技术、UAC 绕过方法和 C&C 通信模式，以有效防御此类威胁。<\/p>

进程名<\/th>	厂商<\/th> <\/tr> <\/thead>
astui.exe<\/td>	Avast<\/td> <\/tr>
avpui.exe<\/td>	Kaspersky<\/td> <\/tr>
avgui.exe<\/td>	AVG<\/td> <\/tr>
egui.exe<\/td>	Nod32<\/td> <\/tr>
bdagent<\/td>	Bitdefender<\/td> <\/tr>
avguard.exe<\/td>	Avira<\/td> <\/tr>
nis.exe<\/td>	Norton<\/td> <\/tr>
uiseagnt.exe<\/td>	Trend Micro<\/td> <\/tr>
bytefence.exe<\/td>	ByteFence<\/td> <\/tr>
mcshield.exe<\/td>	McAfee<\/td> <\/tr>
msascuil.exe<\/td>	Windows Defender<\/td> <\/tr> <\/tbody> <\/table> 特殊处理：<\/p> IOBit：终止 monitor.exe 和 smBootTime.exe<\/li> Trend Micro：不执行关键日志线程<\/li> 卡巴斯基：调整执行策略<\/li> <\/ul> 4.3 系统调用绕过<\/h3> 直接调用内核模式函数（KiFastSystemCall）<\/li> 32\/64位系统自适应<\/li> 绕过用户模式 Hook<\/li> <\/ul> 5. 持久化技术<\/h2> 5.1 UAC 绕过<\/h3> 方法1：磁盘清理任务<\/strong><\/p> 修改 `%windir%<\/code> 环境变量（HKEY_CURRENT_USER\Enviroment\windir）<\/li>` 利用 cleanmgr.exe 计划任务<\/li> <\/ul> 方法2：EventVwr 漏洞<\/strong><\/p> 利用 eventvwr.exe 的高完整性特性<\/li> 修改 HKCU\Software\Classes\mscfile\shell\open\command<\/code><\/li> <\/ul> 5.2 恢复工具对抗<\/h3> 检测并对抗以下恢复工具：<\/p> AdwCleaner<\/li> Farbar Recovery Scan Tool (frst64.exe, frst32.exe)<\/li> <\/ul> 对抗方法：<\/p> 每20秒重新分配恶意软件文件<\/li> 确保文件被删除后能自动恢复<\/li> <\/ul> 6. 其他恶意功能<\/h2> 6.1 键盘记录<\/h3> 记录所有键盘事件<\/li> 记录前台窗口和剪贴板内容<\/li> 日志保存在 C:\users\{username}\appdata\roaming\{ID1}<\/code><\/li> <\/ul> 6.2 凭证窃取工具<\/h3> 使用以下 NirSoft 工具：<\/p> Mail PassView<\/li> WebBrowserPassView<\/li> ChromeCookiesView\/IECookiesView\/MZCookiesView<\/li> BrowsingHistoryView<\/li> SkypeLogView<\/li> <\/ul> 6.3 系统破坏<\/h3> 删除所有系统恢复点：vssadmin delete shadows \/for=c: \/all \/quiet<\/code><\/li> 创建后门账户（针对西班牙和法国系统）： net user \/add SafeMode Darkgate0! net localgroup administrators SafeMode \/add net localgroup administradores SafeMode \/add net localgroup administrateurs SafeMode \/add <\/code><\/pre> <\/li> <\/ul> 7. C&C 通信<\/h2> 硬编码域名：<\/p> akamai.la<\/li> hardwarenet.cc<\/li> ec2-14-122-45-127.compute-1.amazonaws.cdnprivate.tel<\/li> awsamazon.cc<\/li> battlenet.la<\/li> a40-77-229-13.deploy.static.akamaitechnologies.pw<\/li> <\/ul> 8. 防御措施<\/h2> 8.1 检测指标<\/h3> 文件路径：C:\{username}\<\/code> 下的可疑文件<\/li> 注册表项：\SOFTWARE\Microsoft\Windows\CurrentVersion\Run<\/code> 中的可疑条目<\/li> 网络通信：与上述 C&C 域名的连接<\/li> <\/ul> 8.2 防护建议<\/h3> 启用高级端点保护解决方案<\/li> 监控 Process Hollowing 行为（特别是 vbc.exe 进程）<\/li> 限制 NirSoft 工具的执行<\/li> 监控 UAC 绕过行为<\/li> 保持系统和安全软件更新<\/li> <\/ol> 9. 样本信息<\/h2> 9.1 Hash 值<\/h3> 3340013b0f00fe0c9e99411f722f8f3f0baf9ae4f40ac78796a6d4d694b46d7b 0c3ef20ede53efbe5eebca50171a589731a17037147102838bdb4a41c33f94e5 52c47a529e4ddd0778dde84b7f54e1aea326d9f8eeb4ba4961a87835a3d29866 ... <\/code><\/pre> 10. 总结<\/h2> DarkGate 是一款高度复杂且持续演变的恶意软件，其作者投入了大量精力规避检测。安全团队应重点关注其独特的 Process Hollowing 技术、UAC 绕过方法和 C&C 通信模式，以有效防御此类威胁。<\/p>

DarkGate 恶意软件深度分析与防御指南<\/h1>

1. 概述<\/h2> DarkGate 是一款高度复杂且隐蔽的多功能恶意软件，主要针对欧洲（特别是西班牙和法国）的 Windows 工作站用户。该恶意软件通过 torrent 文件传播，具有加密货币挖掘、密码窃取、勒索和远程控制等多种功能。<\/p>

2. 技术分析<\/h2>

2.2 执行流程（四阶段）<\/h3>

3. 功能模块<\/h2>

4. 反检测技术<\/h2>

5. 持久化技术<\/h2>

6. 其他恶意功能<\/h2>

8. 防御措施<\/h2>

9. 样本信息<\/h2>

10. 总结<\/h2> DarkGate 是一款高度复杂且持续演变的恶意软件，其作者投入了大量精力规避检测。安全团队应重点关注其独特的 Process Hollowing 技术、UAC 绕过方法和 C&C 通信模式，以有效防御此类威胁。<\/p>

1. 概述<\/h2>
DarkGate 是一款高度复杂且隐蔽的多功能恶意软件，主要针对欧洲（特别是西班牙和法国）的 Windows 工作站用户。该恶意软件通过 torrent 文件传播，具有加密货币挖掘、密码窃取、勒索和远程控制等多种功能。<\/p>

10. 总结<\/h2>
DarkGate 是一款高度复杂且持续演变的恶意软件，其作者投入了大量精力规避检测。安全团队应重点关注其独特的 Process Hollowing 技术、UAC 绕过方法和 C&C 通信模式，以有效防御此类威胁。<\/p>