DarkGate:新型多功能恶意软件分析
字数 2922 2025-08-18 17:33:08

DarkGate 恶意软件深度分析与防御指南

1. 概述

DarkGate 是一款高度复杂且隐蔽的多功能恶意软件,主要针对欧洲(特别是西班牙和法国)的 Windows 工作站用户。该恶意软件通过 torrent 文件传播,具有加密货币挖掘、密码窃取、勒索和远程控制等多种功能。

1.1 主要特点

  • 利用 Akamai CDN 和 AWS 等合法服务建立 C&C 通信
  • 采用多种技术绕过传统 AV 检测
  • 使用两种不同的 UAC 绕过技术提权
  • 具备文件恢复保护机制
  • 功能模块化:挖矿、密码窃取、勒索、远程控制

2. 技术分析

2.1 传播方式

  • 伪装为电影/电视剧的 torrent 文件(如 the-walking-dead-9-5-hdtv-720p.torrent.vbe)
  • 通过钓鱼邮件传播恶意文件

2.2 执行流程(四阶段)

阶段1:初始加载

  • 执行混淆的 VB 脚本(类似 Downloader)
  • 在隐藏文件夹 C:\{username} 中放置以下文件:
    • autoit3.exe
    • test.au3
    • pe.bin
    • shell.txt

阶段2:持久化

  • 在自启目录创建 bill.ink 快捷方式
  • 触发 shell.txt 中的二进制代码

阶段3:内存加载

  • 从 shell.txt 加载二进制代码到内存
  • 使用 AutoIt 的 DLLStructCreateDllStructSetData
  • 通过 CallWindowProc 执行代码

阶段4:核心执行

  • 检查卡巴斯基是否存在
  • 解密 pe.bin 文件
  • 使用 Process Hollowing 注入 vbc.exe 进程
  • 将自身复制到 C:\Program data 并以用户 ID 前8位命名
  • 注册表持久化:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3. 功能模块

3.1 加密货币挖矿

  • 从 C&C 服务器获取挖矿程序
  • 通过 Process Hollowing 注入 systeminfo.exe 进程
  • 配置文件保存为 config.bin
  • 矿工程序保存为 cpu.bin

3.2 密码窃取

针对以下加密钱包和交易所:

  • HitBTC、Binance、Litebit、Cryptopia、CoinEx
  • Electrum、Bittrex、Blockchain、Bitcoin Core
  • KuCoin、MetaMask、MyEtherWallet、Litecoin Core

3.3 远程控制

  • 可安装定制远程访问工具
  • 支持手动操作感染机器

3.4 信息收集

收集以下系统信息:

  • 语言环境、用户名、计算机名
  • 前台窗口、当前时间
  • 处理器类型、显卡信息
  • 内存容量、OS 版本
  • 管理员权限状态
  • AV 类型检测

4. 反检测技术

4.1 反虚拟机检测

  • 使用 Sysutils::DiskSize 检查磁盘空间(<101GB 视为虚拟机)
  • 使用 GlobalMemoryStatusEx 检查内存(<4GB 视为虚拟机)

4.2 反AV检测

检测以下安全软件进程:

进程名 厂商
astui.exe Avast
avpui.exe Kaspersky
avgui.exe AVG
egui.exe Nod32
bdagent Bitdefender
avguard.exe Avira
nis.exe Norton
uiseagnt.exe Trend Micro
bytefence.exe ByteFence
mcshield.exe McAfee
msascuil.exe Windows Defender

特殊处理:

  • IOBit:终止 monitor.exe 和 smBootTime.exe
  • Trend Micro:不执行关键日志线程
  • 卡巴斯基:调整执行策略

4.3 系统调用绕过

  • 直接调用内核模式函数(KiFastSystemCall)
  • 32/64位系统自适应
  • 绕过用户模式 Hook

5. 持久化技术

5.1 UAC 绕过

方法1:磁盘清理任务

  • 修改 %windir% 环境变量(HKEY_CURRENT_USER\Enviroment\windir)
  • 利用 cleanmgr.exe 计划任务

方法2:EventVwr 漏洞

  • 利用 eventvwr.exe 的高完整性特性
  • 修改 HKCU\Software\Classes\mscfile\shell\open\command

5.2 恢复工具对抗

检测并对抗以下恢复工具:

  • AdwCleaner
  • Farbar Recovery Scan Tool (frst64.exe, frst32.exe)

对抗方法:

  • 每20秒重新分配恶意软件文件
  • 确保文件被删除后能自动恢复

6. 其他恶意功能

6.1 键盘记录

  • 记录所有键盘事件
  • 记录前台窗口和剪贴板内容
  • 日志保存在 C:\users\{username}\appdata\roaming\{ID1}

6.2 凭证窃取工具

使用以下 NirSoft 工具:

  • Mail PassView
  • WebBrowserPassView
  • ChromeCookiesView/IECookiesView/MZCookiesView
  • BrowsingHistoryView
  • SkypeLogView

6.3 系统破坏

  • 删除所有系统恢复点:vssadmin delete shadows /for=c: /all /quiet
  • 创建后门账户(针对西班牙和法国系统): 
    net user /add SafeMode Darkgate0!
net localgroup administrators SafeMode /add
net localgroup administradores SafeMode /add
net localgroup administrateurs SafeMode /add

7. C&C 通信

硬编码域名:

  • akamai.la
  • hardwarenet.cc
  • ec2-14-122-45-127.compute-1.amazonaws.cdnprivate.tel
  • awsamazon.cc
  • battlenet.la
  • a40-77-229-13.deploy.static.akamaitechnologies.pw

8. 防御措施

8.1 检测指标

  • 文件路径:C:\{username}\ 下的可疑文件
  • 注册表项:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 中的可疑条目
  • 网络通信:与上述 C&C 域名的连接

8.2 防护建议

  1. 启用高级端点保护解决方案
  2. 监控 Process Hollowing 行为(特别是 vbc.exe 进程)
  3. 限制 NirSoft 工具的执行
  4. 监控 UAC 绕过行为
  5. 保持系统和安全软件更新

9. 样本信息

9.1 Hash 值

3340013b0f00fe0c9e99411f722f8f3f0baf9ae4f40ac78796a6d4d694b46d7b
0c3ef20ede53efbe5eebca50171a589731a17037147102838bdb4a41c33f94e5
52c47a529e4ddd0778dde84b7f54e1aea326d9f8eeb4ba4961a87835a3d29866
...

10. 总结

DarkGate 是一款高度复杂且持续演变的恶意软件,其作者投入了大量精力规避检测。安全团队应重点关注其独特的 Process Hollowing 技术、UAC 绕过方法和 C&C 通信模式,以有效防御此类威胁。

DarkGate 恶意软件深度分析与防御指南 1. 概述 DarkGate 是一款高度复杂且隐蔽的多功能恶意软件,主要针对欧洲(特别是西班牙和法国)的 Windows 工作站用户。该恶意软件通过 torrent 文件传播,具有加密货币挖掘、密码窃取、勒索和远程控制等多种功能。 1.1 主要特点 利用 Akamai CDN 和 AWS 等合法服务建立 C&C 通信 采用多种技术绕过传统 AV 检测 使用两种不同的 UAC 绕过技术提权 具备文件恢复保护机制 功能模块化:挖矿、密码窃取、勒索、远程控制 2. 技术分析 2.1 传播方式 伪装为电影/电视剧的 torrent 文件(如 the-walking-dead-9-5-hdtv-720p.torrent.vbe) 通过钓鱼邮件传播恶意文件 2.2 执行流程(四阶段) 阶段1:初始加载 执行混淆的 VB 脚本(类似 Downloader) 在隐藏文件夹 C:\{username} 中放置以下文件: autoit3.exe test.au3 pe.bin shell.txt 阶段2:持久化 在自启目录创建 bill.ink 快捷方式 触发 shell.txt 中的二进制代码 阶段3:内存加载 从 shell.txt 加载二进制代码到内存 使用 AutoIt 的 DLLStructCreate 和 DllStructSetData 通过 CallWindowProc 执行代码 阶段4:核心执行 检查卡巴斯基是否存在 解密 pe.bin 文件 使用 Process Hollowing 注入 vbc.exe 进程 将自身复制到 C:\Program data 并以用户 ID 前8位命名 注册表持久化: \SOFTWARE\Microsoft\Windows\CurrentVersion\Run 3. 功能模块 3.1 加密货币挖矿 从 C&C 服务器获取挖矿程序 通过 Process Hollowing 注入 systeminfo.exe 进程 配置文件保存为 config.bin 矿工程序保存为 cpu.bin 3.2 密码窃取 针对以下加密钱包和交易所: HitBTC、Binance、Litebit、Cryptopia、CoinEx Electrum、Bittrex、Blockchain、Bitcoin Core KuCoin、MetaMask、MyEtherWallet、Litecoin Core 3.3 远程控制 可安装定制远程访问工具 支持手动操作感染机器 3.4 信息收集 收集以下系统信息: 语言环境、用户名、计算机名 前台窗口、当前时间 处理器类型、显卡信息 内存容量、OS 版本 管理员权限状态 AV 类型检测 4. 反检测技术 4.1 反虚拟机检测 使用 Sysutils::DiskSize 检查磁盘空间( <101GB 视为虚拟机) 使用 GlobalMemoryStatusEx 检查内存( <4GB 视为虚拟机) 4.2 反AV检测 检测以下安全软件进程: | 进程名 | 厂商 | |--------|------| | astui.exe | Avast | | avpui.exe | Kaspersky | | avgui.exe | AVG | | egui.exe | Nod32 | | bdagent | Bitdefender | | avguard.exe | Avira | | nis.exe | Norton | | uiseagnt.exe | Trend Micro | | bytefence.exe | ByteFence | | mcshield.exe | McAfee | | msascuil.exe | Windows Defender | 特殊处理: IOBit:终止 monitor.exe 和 smBootTime.exe Trend Micro:不执行关键日志线程 卡巴斯基:调整执行策略 4.3 系统调用绕过 直接调用内核模式函数(KiFastSystemCall) 32/64位系统自适应 绕过用户模式 Hook 5. 持久化技术 5.1 UAC 绕过 方法1:磁盘清理任务 修改 %windir% 环境变量(HKEY_ CURRENT_ USER\Enviroment\windir) 利用 cleanmgr.exe 计划任务 方法2:EventVwr 漏洞 利用 eventvwr.exe 的高完整性特性 修改 HKCU\Software\Classes\mscfile\shell\open\command 5.2 恢复工具对抗 检测并对抗以下恢复工具: AdwCleaner Farbar Recovery Scan Tool (frst64.exe, frst32.exe) 对抗方法: 每20秒重新分配恶意软件文件 确保文件被删除后能自动恢复 6. 其他恶意功能 6.1 键盘记录 记录所有键盘事件 记录前台窗口和剪贴板内容 日志保存在 C:\users\{username}\appdata\roaming\{ID1} 6.2 凭证窃取工具 使用以下 NirSoft 工具: Mail PassView WebBrowserPassView ChromeCookiesView/IECookiesView/MZCookiesView BrowsingHistoryView SkypeLogView 6.3 系统破坏 删除所有系统恢复点: vssadmin delete shadows /for=c: /all /quiet 创建后门账户(针对西班牙和法国系统): 7. C&C 通信 硬编码域名: akamai.la hardwarenet.cc ec2-14-122-45-127.compute-1.amazonaws.cdnprivate.tel awsamazon.cc battlenet.la a40-77-229-13.deploy.static.akamaitechnologies.pw 8. 防御措施 8.1 检测指标 文件路径: C:\{username}\ 下的可疑文件 注册表项: \SOFTWARE\Microsoft\Windows\CurrentVersion\Run 中的可疑条目 网络通信:与上述 C&C 域名的连接 8.2 防护建议 启用高级端点保护解决方案 监控 Process Hollowing 行为(特别是 vbc.exe 进程) 限制 NirSoft 工具的执行 监控 UAC 绕过行为 保持系统和安全软件更新 9. 样本信息 9.1 Hash 值 10. 总结 DarkGate 是一款高度复杂且持续演变的恶意软件,其作者投入了大量精力规避检测。安全团队应重点关注其独特的 Process Hollowing 技术、UAC 绕过方法和 C&C 通信模式,以有效防御此类威胁。