DePriMon下载器使用了一种前所未有的安装技术

ESET研究人员发现了一种新的下载程序，称为DePriMon，它在野外的攻击中使用了新的“端口监控”方法。 

Lambert APT组（又名Longhorn ）使用了新的DePriMon下载程序来部署恶意软件。

根据Symantec在2017年发布的一份报告，Longhorn是一个至少从2011年开始活跃的北美黑客组织。该组织非常老练，利用零日攻击和复杂的恶意软件对几乎所有行业和政府、组织进行有针对性的攻击，包括金融、能源、电信和教育、航空航天。

这些目标都位于中东、欧洲、亚洲和非洲。

2017年，Symantec推测，16个国家的至少40个目标受到了这个组织的危害。

Black Lampert是arsena的一个恶意软件，它是一种用于控制受感染系统的主动植入软件。arsenal的其他恶意软件包括基于被动网络的后门White Lampert，Blue Lampert第二阶段有效负载，Green Lampert有效负载和Pink Lambert工具。

DePriMon下载程序通过注册一个新的本地端口监视器来实现持久性，这是MITRE ATT&CK知识库中“端口监视”技术下的一个规避技巧。

据ESET称，至少从2017年3月起，在中欧的一家私人公司的电脑上，以及在中东的数十台电脑上都发现了DePriMon的活动迹象。

用作C&C服务器的域名包含阿拉伯语单词，表明攻击者的攻击目标是中东地区。

DePriMon被下载到内存中，并使用反射DLL技术作为DLL执行，它使用密钥和值注册，这需要管理员权限。

注册的DLL将在系统启动时由具有系统权限的spoolsv.exe加载。

根据分析：“ DePriMon的第二阶段和第三阶段都在第一阶段被发送到受害者的磁盘上。 磁碟在第一阶段。第二阶段将自行安装并使用加密的第三阶段进行加载，硬编码路径。其中一个可能的解释是，它是在第一阶段攻击发生后配置的。“

“上述的安装技术是独一无二的。原则上，在MITRE ATT&CK分类法中，在持久性和特权提升策略下，它被描述为“端口监视器”。我们相信DePriMon是第一个使用这种技术的恶意软件。”

该恶意软件利用Microsoft的SSL / TLS安全通道实现C2通信。ESET研究人员指出，为了防止对DePriMon恶意软件进行分析，作者已在加密方面做出了巨大努力。

DePriMon通过TLS进行安全通信，连接由Windows套接字初始化，并可以继续初始化通过身份验证的安全支持提供程序接口（SSPI）与协商/NTLM SSP的会话。然后DePriMon恶意软件使用Schannel进行交流。

ESET总结道：“DePriMon是一个非常先进的下载程序，其开发人员在建立体系结构和设计关键组件上付出了额外的努力。DePimon是一种功能强大，灵活且持久的工具，旨在下载有效负载并执行它，并在此过程中收集有关系统及其用户的一些基本信息。”