新的无文件恶意软件使用Windows注册表作为存储来逃避检测

通过社会工程活动传播的一种新的基于JavaScript的远程访问特洛伊木马（RAT）被观察到，它使用了狡猾的“无文件”技术，作为其逃避发现和分析的检测方法的一部分。

配音达克瓦奇曼Vivorion的对抗性反情报团队（PACT）的研究人员表示，该恶意软件使用弹性域生成算法（DGA）来识别其指挥与控制（C2）基础设施，并利用Windows注册表进行所有存储操作，从而使其能够绕过反恶意软件引擎。

研究人员马特·斯塔福德（Matt Stafford）和谢尔曼·史密斯（Sherman Smith）说，RAT“利用新方法实现无文件持久性、系统上活动和动态运行时功能，如自我更新和重新编译。”，添加它“代表着无文件恶意软件技术的一种演变，因为它几乎将注册表用于所有临时和永久存储，因此从不向磁盘写入任何内容，允许它在大多数安全工具的检测阈值以下或附近运行。”

PravaLION表示，俄罗斯的一个未命名的企业规模组织是目标受害者中的一个，从2021年11月12日开始识别了一些恶意软件人工制品。鉴于其后门和持久性特征，PACT团队评估说，DarkWatchman可能是勒索软件团体使用的初始访问和侦察工具。

这一新开发的一个有趣结果是，它完全消除了勒索软件运营商招募附属公司的需要，这些附属公司通常负责删除文件锁定恶意软件和处理文件外泄。使用DarkWatchman作为勒索软件部署的前奏，也让勒索软件的核心开发人员能够更好地监督勒索以外的操作。

DarkWatchman通过矛式网络钓鱼邮件分发，伪装成俄罗斯货运公司Pony Express交付的货物的“免费存储过期通知”，为进一步的恶意活动提供了一个秘密网关。这些电子邮件附带了一张据称是ZIP存档形式的发票，而这张发票又包含了感染Windows系统所需的有效载荷。

新型RAT既是一个无文件JavaScript RAT，也是一个基于C#的键盘记录器，后者存储在注册表中以避免被检测。这两个组件都非常轻。恶意JavaScript代码只需要大约32kb，而键盘记录器的注册容量仅为8.5kb。

研究人员说：“将二进制文件作为编码文本存储在注册表中意味着DarkWatchman是持久的，但其可执行文件永远不会（永久）写入磁盘；这也意味着DarkWatchman的操作员可以在每次执行恶意软件时更新（或替换）恶意软件。”。

安装后，DarkWatchman可以执行任意二进制文件、加载DLL文件、运行JavaScript代码和PowerShell命令、将文件上载到远程服务器、自我更新，甚至从受损机器上卸载RAT和键盘记录器。JavaScript例程还负责通过创建在每个用户登录时运行恶意软件的计划任务来建立持久性。

“键盘记录器本身不与C2通信，也不向磁盘写入数据，”研究人员说。“相反，它会将其键盘记录写入一个用作缓冲区的注册表项。在其操作过程中，RAT会在将记录的击键发送到C2服务器之前清除该缓冲区。”

DarkWatchman尚未被归因于一个黑客组织，但Vivorion将该团队描述为一个“有能力的威胁参与者”，同时指出该恶意软件专门针对位于俄罗斯的受害者，以及源代码样本中发现的印刷错误和拼写错误，增加了操作员可能不是以英语为母语的人的可能性。

研究人员得出结论：“DarkWatchman的作者似乎发现并利用Windows注册表的复杂性和不透明性，在安全工具和分析师的检测阈值之下或周围工作。”。“注册表更改很常见，很难确定哪些更改是异常的，或者超出了正常操作系统和软件功能的范围。”