DarkPulsar后门技术分析与利用指南

DarkPulsar后门技术分析与利用指南 1. DarkPulsar概述 DarkPulsar是一个高级被动后门，作为"ShadowBrokers"泄露的NSA工具集的一部分被发现。它被设计为持久性植入物，主要通过"sipauth32.tsp"文件实现，具有高度隐蔽性和系统协议伪装能力。 1.1 技术背景 属于FuzzBunch框架的ImplantConfig类别插件 主要功能是控制被动后门"sipauth32.tsp" 支持多种命令：Burn、RawShellcode、EDFStagedUpload、DisableSecurity、EnableSecurity、UpgradeImplant、PingPong 2. 技术实现细节 2.1 植入方式 DarkPulsar通过以下机制实现持久化： SSPI注入 ：通过 Secur32.AddSecurityPackage 将自身加载为SSP/AP 注册表修改 ：在 HKLM\Software\Microsoft\Windows\CurrentVersion\Telephony\Providers 添加库名 服务启动 ：利用Telephony API(TapiSrv)和远程访问连接管理器(RasMan)服务 2.2 核心功能实现 DarkPulsar通过挂钩 SpAcceptLsaModeContext 函数控制多种系统认证协议： Msv1_ 0.dll (NTLM协议) Kerberos.dll (Kerberos协议) Schannel.dll (TLS/SSL协议) Wdigest.dll (摘要协议) Lsasrv.dll (协商协议) 2.3 隐蔽通信 将恶意流量嵌入标准系统协议 使用系统保留端口 网络活动仅反映在系统进程(lsass.exe)中 3. 利用方法 3.1 基本使用 DarkPulsar管理界面(Darkpulsar-1.1.0.exe)工作模式： "一个命令-一次启动"原则 必须指定以下参数： 目标系统架构(32/64位) 协议和端口号(支持SMB、NBT、SSL、RDP) 私有RSA密钥(用于解密会话AES密钥) 3.2 关键命令 DisableSecurity ：绕过认证检查，使任何凭据都有效 EnableSecurity ：恢复正常的认证检查 EDFStagedUpload ：建立持久连接 PingPong ：检查后门是否安装 3.3 与DanderSpritz集成 完整利用流程： 通过FuzzBunch执行 EDFStagedUpload 启动DarkPulsar 在DanderSpritz中运行 pc_prep 准备有效载荷 在DanderSpritz中运行 pc_old 等待连接 通过FuzzBunch启动 Pcdlllauncher 指定有效载荷路径 4. 检测与防御 4.1 检测指标 文件指标 ： 路径： %SystemRoot%\System32\sipauth32.tsp MD5：96f10cfa6ba24c9ecd08aa6d37993fe4 注册表指标 ： HKLM\Software\Microsoft\Windows\CurrentVersion\Telephony\Providers 网络指标 ： lsass.exe中的绑定套接字 端口445的异常流量 4.2 行为检测 lsass.exe中异常的SSP加载 Telephony服务异常启动 系统认证协议的非预期行为 5. 清除方法 删除 sipauth32.tsp 文件 清理注册表中的相关项 检查并重置被修改的系统服务 使用专业安全产品进行全面扫描 6. 总结 DarkPulsar代表了高级持续性威胁(APT)中使用的复杂后门技术，其特点包括： 深度系统集成 协议级隐蔽通信 认证绕过能力 与多个攻击框架的无缝集成 防御此类威胁需要多层安全策略，包括行为监控、协议分析和端点保护。