DePriMon下载器使用了一种前所未有的安装技术
ESET研究人员发现了一种新的下载程序,称为DePriMon,它在野外的攻击中使用了新的“端口监控”方法。
Lambert APT组(又名Longhorn )使用了新的DePriMon下载程序来部署恶意软件。
根据Symantec在2017年发布的一份报告,Longhorn是一个至少从2011年开始活跃的北美黑客组织。该组织非常老练,利用零日攻击和复杂的恶意软件对几乎所有行业和政府、组织进行有针对性的攻击,包括金融、能源、电信和教育、航空航天。
这些目标都位于中东、欧洲、亚洲和非洲。
2017年,Symantec推测,16个国家的至少40个目标受到了这个组织的危害。
Black Lampert是arsena的一个恶意软件,它是一种用于控制受感染系统的主动植入软件。arsenal的其他恶意软件包括基于被动网络的后门White Lampert,Blue Lampert第二阶段有效负载,Green Lampert有效负载和Pink Lambert工具。
DePriMon下载程序通过注册一个新的本地端口监视器来实现持久性,这是MITRE ATT&CK知识库中“端口监视”技术下的一个规避技巧。
据ESET称,至少从2017年3月起,在中欧的一家私人公司的电脑上,以及在中东的数十台电脑上都发现了DePriMon的活动迹象。
用作C&C服务器的域名包含阿拉伯语单词,表明攻击者的攻击目标是中东地区。
DePriMon被下载到内存中,并使用反射DLL技术作为DLL执行,它使用密钥和值注册,这需要管理员权限。
注册的DLL将在系统启动时由具有系统权限的spoolsv.exe加载。
根据分析:“ DePriMon的第二阶段和第三阶段都在第一阶段被发送到受害者的磁盘上。 磁碟在第一阶段。第二阶段将自行安装并使用加密的第三阶段进行加载,硬编码路径。其中一个可能的解释是,它是在第一阶段攻击发生后配置的。“
“上述的安装技术是独一无二的。原则上,在MITRE ATT&CK分类法中,在持久性和特权提升策略下,它被描述为“端口监视器”。我们相信DePriMon是第一个使用这种技术的恶意软件。”
该恶意软件利用Microsoft的SSL / TLS安全通道实现C2通信。ESET研究人员指出,为了防止对DePriMon恶意软件进行分析,作者已在加密方面做出了巨大努力。
DePriMon通过TLS进行安全通信,连接由Windows套接字初始化,并可以继续初始化通过身份验证的安全支持提供程序接口(SSPI)与协商/NTLM SSP的会话。然后DePriMon恶意软件使用Schannel进行交流。
ESET总结道:“DePriMon是一个非常先进的下载程序,其开发人员在建立体系结构和设计关键组件上付出了额外的努力。DePimon是一种功能强大,灵活且持久的工具,旨在下载有效负载并执行它,并在此过程中收集有关系统及其用户的一些基本信息。”