恶意软件使用新的“无文件”技术逃避传统杀毒软件

已经观察到一种新的基于JAVAScript的远程访问木马（RAT）利用社会工程学传播，采用隐蔽的"无文件"技术作为其逃避检测和分析的方法。

该恶意软件由Prevalyion的对抗性反情报团队（PACT）的研究人员称为DarkWatchman，它使用弹性域生成算法（DGA）来识别其命令和控制（C2）基础架构，并利用windows注册表进行所有存储操作，从而使其能够绕过反恶意软件引擎。

研究人员Matt Stafford和Sherman Smith说，RAT"利用新颖的方法进行无文件持久性，系统活动和动态运行时功能，如自我更新和重新编译，"并补充说它"代表了无文件恶意软件技术的演变，因为它将注册表用于几乎所有临时和永久存储，因此永远不会向磁盘写入任何东西，使其能够在大多数安全工具的检测阈值以下或附近运行。

Prevailion表示，俄罗斯一家未具名的企业规模组织是目标受害者之一，从2021年11月12日开始确定了许多恶意软件工件。鉴于其后门和持久性功能，PACT团队评估DarkWatchman可能是勒索软件组使用的初始访问和侦察工具。

这种新颖发展的一个有趣的结果是，它完全避免了勒索软件运营商招募关联公司的需要，这些关联公司通常负责丢弃文件锁定恶意软件并处理文件泄露。使用DarkWatchman作为勒索软件部署的前奏，还可以使勒索软件的核心开发人员能够更好地监督操作，而不仅仅是谈判赎金。

DarkWatchman通过鱼叉式网络钓鱼电子邮件分发，伪装成俄罗斯货运公司Pony Express交付的货物的"免费存储到期通知"，为进一步的恶意活动提供了一个隐蔽的网关。这些电子邮件以ZIP存档的形式附有所谓的发票，而该存档又包含感染Windows系统所需的有效负载。

新颖的RAT既是无文件的JavaScript RAT，也是基于C#的键盘记录器，后者存储在注册表中以避免检测。这两个组件也都非常轻巧。恶意JavaScript代码只需要大约32kb，而键盘记录器几乎只注册8.5kb。

"将二进制文件作为编码文本存储在注册表中意味着DarkWatchman是持久的，但其可执行文件永远不会（永久）写入磁盘;这也意味着DarkWatchman的运营商可以在每次执行恶意软件时更新（或替换）恶意软件，"研究人员说。

安装后，DarkWatchman可以执行任意二进制文件，加载DLL文件，运行JavaScript代码和PowerShell命令，将文件上传到远程服务器，更新自身，甚至从受感染的机器上卸载RAT和键盘记录器。JavaScript 例程还负责通过创建在每次用户登录时运行恶意软件的计划任务来建立持久性。

"键盘记录器本身不与C2通信或写入磁盘，"研究人员说。"相反，它会将其注册表项写入注册表项，并将其用作缓冲区。在其操作过程中，RAT会刮擦并清除此缓冲区，然后将记录的击键传输到C2服务器。

DarkWatchman尚未被归因于黑客组织，但Prevaition将船员描述为"有能力的威胁行为者"，并指出该恶意软件专门针对位于俄罗斯的受害者以及在源代码样本中发现的印刷错误和拼写错误，这增加了操作员可能不是母语为英语的可能性。

"DarkWatchman的作者似乎发现并利用Windows注册表的复杂性和不透明度在安全工具和分析师的检测阈值以下或附近工作，"研究人员总结道。"注册表更改是司空见惯的，并且很难识别哪些更改是异常的或超出正常操作系统和软件功能的范围。