本站vip特权 - 全站资源免费下载

限时特惠

RAT的新玩家:技术导航DarkVision

最近 Deep Instinct 的威胁研究团队发现了一种新的、高度模块化的 RAT,名为 技术导航DarkVision。该 RAT 在著名的网络犯罪和黑客论坛中进行销售,并且开设了专门的销售网站。

技术导航DarkVision 是一个比较新的 RAT,带有许多插件和功能更新,包括密码收集、操作系统消息提示、加密/解密等。技术导航DarkVision 可用于各种各样的恶意活动,窃密活动、欺诈甚至是勒索。但是对于许多人来说,该 RAT 在地下论坛的出现和扩散比其实际用途更有意思。技术导航DarkVision 的开发者在很大程度上体现了其专业性,结构清晰的 RAT 工具仅需要 40 美元,与此同时该 RAT 还有着出色的功能、便于部署、几分钟就可投入使用等优点。

技术导航DarkVision

RAT 是比较重要的威胁,通常为攻击者提供对失陷主机的远程访问和监控,可以进行后续一系列恶意行为

技术导航DarkVision 在 2020 年 1 月中旬发布了首个版本,根据描述支持 Windows 7/8/10(32/64 位),使用 C++ 和汇编编写没有任何第三方依赖(如 .NET)。

技术导航DarkVision 是模块化的插件架构,极其易用、对用户友好。根据开发者的描述,这是一个长期项目,包括“终身技术支持”以及根据需求免费/打折升级到新版本。除了在论坛中进行销售,技术导航DarkVision 的开发者还建立一个销售 技术导航DarkVision 的网站。

1593099631_5ef4c56fe04cd.png!small

1593099853_5ef4c64de1230.png!small

两个论坛还提供了各种功能的截图和视频:

1593099866_5ef4c65a4c937.png!small

很快 技术导航DarkVision 就在论坛中收到了积极的反馈信息:

1593099875_5ef4c663c649c.png!small

1593099885_5ef4c66d3eabd.png!small

在相关人员短暂没有消息后,很多用户猜测是不是已经被执法人员逮捕:

1593099942_5ef4c6a6df813.png!small

作者也现身予以回复:

1593100004_5ef4c6e487647.png!small

技术导航DarkVision 的开发者对反馈的响应非常积极,也在沟通中为恶意软件增加了新的特性和功能,例如加密功能和隐藏的 VNC/RDP 功能:

1593100014_5ef4c6ee047b8.png!small

以下是开发者宣布 技术导航DarkVision 支持加密功能的声明:

1593100023_5ef4c6f781c50.png!small

以及加密功能的动机:

1593100046_5ef4c70ee74e7.png!small

开发者还与其他人沟通了 VNC/RDP 功能的设计:

1593100056_5ef4c7184bb7e.png!small

尝试使用

尽管没有捕获到最新的、带有 RDP 插件和加密功能的样本,但针对该工具的分析仍然有很多值得一提的地方。

工具中包含一个可执行文件,该文件既是 RAT 的生成工具,又是失陷主机的控制端。一共包含 17 个插件 DLL(每个插件都提供 32 位和 64 位版本),每个插件都有不同的功能。插件可以有选择地发送给失陷主机,由 RAT 加载到内存中,无需写入磁盘(只有 chat 插件例外)。

1593100106_5ef4c74a77f1f.png!small

插件功能:

系统控制:锁定、重启或者关闭失陷主机

进程管理:列出活动进程

注册表编辑:编辑失陷主机的注册表

文件管理:在失陷主机上操作文件(复制、删除、移动等)、向失陷主机上传/下载文件、查看图片缩略图、使用 AES 256 加密/解密文件(加密文件后缀 .DVCRYPT,文件头替换为DVCR)。该方式通常在勒索软件中出现

1593100147_5ef4c773e8018.png!small

屏幕截图:最多隔十秒对主机屏幕进行截图,最短设置为 0 即可将屏幕流式推送到攻击者

消息管理:显示可自定义的操作系统提示并返回响应

网络摄像头:捕获网络摄像头的视频

壁纸:更改失陷主机的 Windows 壁纸

键盘记录(实时):记录受害者的击键记录与窗口

聊天:打开与受害者的聊天窗口

发送邮件:从失陷主机发送电子邮件

Dropper:通过互联网下载文件到指定位置

反向代理:SOCKS4 代理

远程命令行:失陷主机的远程命令行管理程序

麦克风捕获:捕获麦克风音频

密码恢复:恢复 Chrome 和 Firefox 存储的密码

窗口列表:列出当前打开的操作系统窗口

技术导航DarkVision 将失陷主机称为servers,可能是为了避免称其为bot也可能是由于具有某些类似服务器的功能。

结论

尽管还不成熟,但 技术导航DarkVision 毕竟已经具备了很多功能而且价格低廉,在地下论坛相当受欢迎。

技术导航DarkVision 目前正在积极开发新功能,并且可能会持续更新并添加其他功能。

其开发者在演示视频中的操作系统使用的瑞典语,而且使用的是瑞典的 IP 进行操作,推测其可能是讲瑞典语的人。

IOC

asdhuaudjwaj.kro.kr:5678

rwrw.ddns.net:1984

sharkzilla06.ddns.net:5552

83.253.89.225:5555

193.150.242.255:5555

45.153.240.147:8787

185.244.30.38:5510

52e66bc19323536314fce12a2a3fa064b726bb71704a0d9f899d49892f265274 – dv_kit.zip # DarkVision Kit

ba59847f9f160987ee5d9ad57d5022895cece9bd4627d90f5eab35c2f29596ea – DARKVISIONENCRYPTED.EXE # Builder/control panel

447ccb93bcbc969e08ec726e1461c386668720d79d091bca889b5b5a129a352d – CHATPLUGIN32.DLL

7e1aa75831ab42fb27bd372c84e70816cee68e63c59ab66ad445e123cb4dad40 – CHATPLUGIN64.DLL

054f55d77f0250760ab3a12e63af89ba5958468215e18b522cd618363da938a1 – DROPPERPLUGIN32.DLL

83358d06da03686a452f03045219f8286d46ada3287b3a354229ae82dcbd3266 – DROPPERPLUGIN64.DLL

17ab5394041bf8230f816ea92638ec5e5515112132a8e649d4caa783d886cfdf – FILEPLUGIN32.DLL

7c43ad507d71361001464838d5a55a4753a4c8c0e9647de37e721a2d86fb5a86 – FILEPLUGIN64.DLL

3ec311c131d15a530dac35108f167ee926ef87e6cef618c6ba05d9eb239a4940 – LIVEKEYLOGGERPLUGIN32.DLL

0a3bdfe88cf7c38294a1ff2a497f3bcedb3feb8dc37fa0de7332865c348b7eb0 – LIVEKEYLOGGERPLUGIN64.DLL

a1396856c94b92cc78e9636b37ed3e998443699d6bb9f35e086bc87a5ccd0f67 – MESSAGEPLUGIN32.DLL

32eda28241805e739ecdf205f056948cd4bc0d421ccfb70e77d1027d94504587 – MESSAGEPLUGIN64.DLL

4a30c6c89f0d95bc647da438bb4783853167f997221b3ff91bda6816d4043c5a – MICROPHONECAPTUREPLUGIN32.DLL

8284d1613e68ccfd1f07b80161e38f9a96cf26f1229cd297ea1bd95809459bdd – MICROPHONECAPTUREPLUGIN64.DLL

24c3d64db7c499c6c60ae6bf406e25d6a70902cb7f2393b81555e3241aa7c43c – PASSWORDRECOVERYPLUGIN32.DLL

d9f5fe4cd4885a31c288e89447db5d77e846db5b714bb6c1a32e8692e9dd6acd – PASSWORDRECOVERYPLUGIN64.DLL

5a882cb5120fc2720df4c26a02feafcac4246c7937c7dcb6046a1f185e39a2eb – PROCESSPLUGIN32.DLL

230f27eb5652c0a169740a44375221bcda1fae8c3703e354bb756189fa0b8a07 – PROCESSPLUGIN64.DLL

b0faa36c459996787f5aadb327003497444c375e25d0e6a07bc7264608f6b18a – REGISTRYPLUGIN32.DLL

434733d083f2648719bc02e7c8b0bf300007619f20876cb9161e88f5a13d47f2 – REGISTRYPLUGIN64.DLL

7c7264939bd4e249e559f507027c1b1eb92541803e29434238165423c664fa8a – REMOTESHELLPLUGIN32.DLL

572a2d0e60147163deb9bbada3ddd7fe414096fc1b14f51bd6d17a0fc34e7131 – REMOTESHELLPLUGIN64.DLL

531ed45fca9530ae8d1b56b40b784c8d238bf739ea1c7d5779a7dc155248f47b – SCREENCAPTUREPLUGIN32.DLL

ea97e8b77b654598a46a12f6f80ace614cd0cc0b6e2060e81ca2c76ec1f9e2e8 – SCREENCAPTUREPLUGIN64.DLL

b55075d58564ce37324e5f4c746839e35293ac60fed35f345163b77944b0ed8d – SENDMAILPLUGIN32.DLL

23a2e7637acc101bf40ddc953152d7302342e3ca480353a84f6fee5e23155519 – SENDMAILPLUGIN64.DLL

9f2bb6a03ce289a2b6b10950df6ccf80ef3f25dfc2a8c0c9fa5efb3b76e1c167 – SOCKSRELAYPLUGIN32.DLL

1868425310156eafad6074aab9b3bff4c681615a03914f7b970d9e7bc476bbb0 – SOCKSRELAYPLUGIN64.DLL

99e316f57528b47af726ff2cd9a33f6c950c4c7f6b88174d491510eb44047132 – SYSTEMCONTROLPLUGIN32.DLL

39d798c7b1fa8a57dba656682d2c91beb946e10c277ad12e2b08a7b7c1d88a8c – SYSTEMCONTROLPLUGIN64.DLL

b1d5be14b2011f0628dcdd686183f2a2363febdac7e14f23eb51ffd7238b9ba2 – WALLPAPERPLUGIN32.DLL

ed6338943d6237d422e4c54ad3e33040140de6800717831c071de1a37fdf1fe9 – WALLPAPERPLUGIN64.DLL

9ad437d76f08dcb1ce86da07de067735d5b9c657c91ffb13972addce1d50cade – WEBCAMPLUGIN32.DLL

eb12c86b21b337b64f99ad7f7375bc4bbb05a7ba6b5af605ace55546af9db222 – WEBCAMPLUGIN64.DLL

96b4836f4e0e5293833e30db86660e5e45268f4a2072fbbeea8003b684756d45 – WINDOWPLUGIN32.DLL

81a857d256dbd90322fa437e8045e2e2173fce46ef05cf83df9b8fe8f62bf74c – WINDOWPLUGIN64.DLL

0de5f042eb250092454d786b6303dee434202d45dc3fec9e6b39237f9e92514f

0fa8acdb672f0e6c184fc5d04bb8af92c0bf5db73de096606f23f4c38ef3347b

10667e9d67706397f7ff96e892d3c0f0ae05d81df5bc17caf85fb356d531c0b8

1a230bb362cde9ead2d9f867af181ae51292c626a3c9d1d30f5f3751b84ffe85

201f31c84755a5cd6081c3db30626cc3f17cf84804c2deb66e27866daad259a3

3295199ba2b4e9cfc448a574cb9e89f3ef131fd19dcf366fe2abb7b3b79eb887

40d48f5e965a250ac45f2f9c9426743c66fe899f07e16c42339149e30b1956e9

44de5a248b6e9c24ad547e73c3ba3c8cc9693ba6eaa5190be9b377845844ffb6

47070e4f6545f9f1308a5aec1e6943e6a29891bce9523db5596544a52f9b3bf4

478cf5482905fa2ac2a2280a03ad6716f153c372c15cd957a23a67ff3260c867

5174ef9f7d5420ab4890173792d8aafc50b8bb3191b4c24f6f58ae73bd7212c3

5cce814cadb4fac6631ff3c988516b4c6618f0c71c7de3588fc0d7038c220f31

7f97ba9a8e6b70708a001cff8677992fc1e768a62f9f21ddd14fb1c6924281bc

808680e6761782a7817fd8e3f90463738d17216b3bca51f3ca4e7375458cba1b

a3bd7d3e7006439d1d53cf8db1f403df2162c8f7e8172d6911be203ea58a2d8d

b75354d8ad3f4e0f675ec6a64c82226d75116535198ef4974b17984ccebab63e

bf1c8cf3ab6213c250d1abf8094180fdcf8e871674482fce1930abe9826e61b9

cb06287e314bf4c684323c7925922cce2932a9e9e9b6aac34634487ac7741afd

e91586b66e6d05e3b118991b72896d37c3e625e4f54ceb4ad6b04f047a31593b

eafa30bac261cc682556812c7c513827f09ef75fc33dbeb61e5d3ff46c9f3808

ee1b2b016b56950986db7b08f451220b91f1d91a70fec0624e289e96c648cb44

f36626f1a71c68c4647347b25eb0000c0e6c5d7700cf16047a3d9967321cf14b

f3b00f34857586056178a56517e4c07effe1182604b11665fb8efb71be78cec4

参考来源

DeepInstinct

网络资讯

谈谈小K娱乐网眼中的黑灰产威胁情报

2020-7-13 18:36:47

网络安全

近三年ATM攻击分析

2020-5-24 14:06:32

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索