主要观点总结
本文介绍了关于DarkKomet远程访问木马(RAT)的详细信息,包括其基本情况、功能、传播方式、检测机制、抑制阶段、根除阶段、恢复阶段以及总结阶段等关键点。
关键观点总结
关键观点1: DarkKomet基本情况
DarkKomet是由Jean-Pierre Lesueur开发的远程访问木马(RAT),用于许多有针对性的攻击,具有网络摄像头拍照、通过麦克风窃听对话、获取受感染机器的完全控制等功能。别名包括Fynloski、Krademok等。
关键观点2: DarkKomet的功能
远控、监控用户行为、开启SYSTEM后门、窃取用户信息并回传信息、下载其他恶意软件。
关键观点3: DarkKomet的传播方式
伪装成笔记本电脑触控板驱动程序进行传播,通过U盘插入、xlsx文件分享、远控软件捆绑实现横向扩散,具有极强传播能力。
关键观点4: 检测阶段
基于TTP驱动、离群数据驱动、杀毒事件驱动、威胁情报驱动混合的货拉拉终端应急响应检测机制,通过EDR收集终端数据并结合威胁情报接口进行扫描。
关键观点5: 抑制阶段
拦截回连c2域名、IP,中断连接,远程接入应急溯源,获取TTP。
关键观点6: 根除阶段
删除启动项和病毒文件,解除病毒文件的驻留状态。
关键观点7: 恢复阶段
清除被感染的"_cache_"文件,并加入EDR和杀毒进行复验攻击阻断。
关键观点8: 总结阶段与防范建议
总结了DarkKomet木马的IOC、TTP和历史事件。提出针对员工高频安装的浏览器类、IM类、运维工具类、远程控制类软件需要做好软件与对应签名的映射验证,并针对高危场景进行离群数据威胁狩猎等防范建议。
文章预览
一、准备阶段 1.1 基本情况 DarkKomet (暗黑彗星) 是由 Jean-Pierre Lesueur(称为 DarkCoderSc)开发的远程访问木马(称为 RAT),在 2012 年初开始扩散,它用于许多有针对性的攻击,能够通过网络摄像头拍照,通过连接到 PC 的麦克风窃听对话,并获得对受感染机器的完全控制。 该 RAT 还以其键盘记录和文件传输功能而闻名,因此,任何远程攻击者都可以将任何文件加载到受感染的机器上,甚至窃取管理员权限、计算机/用户名、语言/国家、操作系统信息、使用的内存、网络摄像头信息、文档等。它会禁用任务管理器、注册表编辑器和文件夹选项,修改注册表项以禁用 Windows 防火墙设置,此操作允许此恶意进程执行而不会被 Windows 防火墙检测到。别名有:Fynloski、Krademok、DarkKomet 等。 1.2 功能 DarkKomet 主要功能:远控,对用户行为进行监控并为攻击者开启 SYST
………………………………
