DarkGate利用CrowdStrike话题传播新样本

文章预览

背景 近日，山石网科情报中心利用部署在海外的沙箱和威胁探针，捕获到使用NSIS包装器伪装的CrowdStrike升级程序，该程序携带合法的CS升级程序，以及窃取的第三方企业证书进行签名来规避杀软检测。通过样本分析技术关联，发现该工具尚处于开发阶段，且攻击手法和DarkGate家族非常相近。目前攻击收录来源集中在北美地区。 样本简析 捕获到的样本上传源为北美，文件HASH:755C0350038DAEFB29B888B6F8739E81，该样本经过泄露证书进行签名： 母体样本为NSIS打包的程序，解包获得一个nsi脚本，该脚本经过简单膨胀混淆： 母体作用为释放混淆文件集到用户TEMP目录，并进行下一步构造： 母体通过tasklist和findstr枚举进程进行主流杀软规避： 在构造下阶段功能样本时，使用AU3脚本配合前面释放的有微软签名的合法文件RegAsm.exe来白加黑进行下一步操作： 同时，在下阶 ………………………………