详细内容或原文请订阅后点击阅览
DarkComet RAT:攻击链技术分析
编者注:本文由恶意软件逆向工程师和威胁情报分析师 Mostafa ElSheimy 撰写。您可以在 X 和 LinkedIn 上找到 Mostafa。在此恶意软件分析报告中,我们深入研究了攻击者如何使用远程访问木马 (RAT) DarkComet 来远程控制系统、窃取敏感信息 […]文章《DarkComet RAT:攻击链的技术分析》首次出现在 ANY.RUN 的网络安全博客上。
来源:ANY.RUN _恶意软件分析DarkComet大鼠:攻击链的技术分析
编辑注:当前文章由恶意软件逆向工程师和威胁情报分析师Mostafa Elsheimy撰写。您可以在X和LinkedIn上找到Mostafa。
编辑注:当前文章由恶意软件逆向工程师和威胁情报分析师Mostafa Elsheimy撰写。您可以在 x 和 LinkedIn 。在此恶意软件分析报告中,我们深入探讨了攻击者如何使用远程访问Trojan(Rat)Darkcomet来远程控制系统,窃取敏感数据并执行各种恶意活动。
darkcomet概述
DarkComet是最初由Jean-Pierre Lesueur于2008年开发的远程访问Trojan(Rat)。该恶意软件在后台静静地运行,收集有关系统,用户和网络活动的敏感信息。
它试图窃取存储的凭据,用户名,密码和其他个人数据,将此信息传输到攻击者指定的目的地。
Backdoor.darkcomet允许攻击者在受感染的机器上安装进一步的恶意软件,或将其邀请在僵尸网络中以发送垃圾邮件或其他恶意活动。
感染的症状可能不会引起用户的注意,因为它可以禁用防病毒程序和其他Windows安全功能。
分发方法包括:
- 与免费软件捆绑在一起。
- 在电子邮件中伪装为无害程序。
- 在网站上利用软件漏洞。
DarkComet由于其用户友好的图形界面而被广泛使用,这导致了其受欢迎程度。
技术细节
让我们使用任何run进行沙盒分析会话,以发现此恶意软件的技术细节。
Any.run查看分析会话
更改文件属性
darkcomet使用命令行操作来更改文件属性,从而使其组件更难检测到。
它使用attrib显示或更改文件属性
attrib 码头状态