DarkGate elemzése
John Moutos, SANS BACS diákja mélyelemzést végzett egy friss adathalász támadás mintáin. A DarkGate egy Borland Delphi nyelven írt, távoli hozzáféréssel és moduláris beépülő képességgel rendelkező betöltő, amelyet a népszerű kiberbűnözési fórumokon a Malware-as-a-Service (MaaS) üzleti modell keretében hirdetnek. Elsősorban arra szolgál, hogy más rosszindulatú szoftvereket, általában infotolvajokat juttasson el a megtámadott gépekre, és segítse az adatok kiszivárgását vagy a további hozzáférést és a perzisztenciát. Mivel a modern AV/EDR termékek sokkal agresszívebben vizsgálják a Portable Executable fájlokat, az alternatív fájltípusok, amelyek további szakaszokat fészkelhetnek be, és még mindig legitimnek tűnnek, túlságosan vonzóvá válnak a MaaS szolgáltatók számára. Az automatizált triage megoldások és a sandboxok segíthetnek felfedni néhány ilyen védett mintát, de nem biztos, hogy egy szervezet számára megvalósítható vagy költséghatékony, hogy minden általuk használt telepítőcsomagot vagy telepítőt sandboxon futtasson.
Mivel ez az MSI szállítási útvonal egyre kevésbé sikeres, a DarkGate áttérhet a további szakaszok beágyazásának alternatív eszközeire, de az írás pillanatában más, nemrégiben készült minták a fentihez hasonló rutin alkalmazásával boncolgathatók.
A minták manuálisan történő vizsgálatának lehetősége, ha az aláírás-alapú szkennelés sikertelen, vagy a reputációs ellenőrzések megkerülése a kódaláíró tanúsítvány használata miatt döntő fontosságú lehet a fenyegetésvadászat során, vagy olyan szervezeten belüli incidensekre való reagálás során, amely nem fér hozzá homokozóhoz vagy automatikus vizsgálati termékekhez.
